U merkt mogelijk dat sommige artikelen inhoud inconsistent weergeven. Onze excuses voor het ongemak terwijl we onze site bijwerken.
cross icon
In dit artikel
dropdown icon
Voorwoord
    Nieuwe en gewijzigde informatie
    dropdown icon
    Aan de slag met hybride databeveiliging
      Overzicht van Hybride databeveiliging
        dropdown icon
        Architectuur beveiligingsrealm
          Gescheiden ruimten (zonder hybride databeveiliging)
        Samenwerken met andere organisaties
          Verwachtingen voor het implementeren van hybride databeveiliging
            Installatieproces op hoog niveau
              dropdown icon
              Implementatiemodel voor hybride databeveiliging
                Implementatiemodel voor hybride databeveiliging
              Proefmodus hybride databeveiliging
                dropdown icon
                Stand-by-datacenter voor noodherstel
                  Stand-by-datacenter instellen voor noodherstel
                Proxy-ondersteuning
                dropdown icon
                Uw omgeving voorbereiden
                  dropdown icon
                  Vereisten voor hybride databeveiliging
                    Cisco Webex-licentievereisten
                    Vereisten voor Docker Desktop
                    X.509-certificaatvereisten
                    Vereisten voor virtuele host
                    Vereisten voor databaseserver
                    Vereisten voor externe connectiviteit
                    Vereisten voor de proxy server
                  Voldoen aan de vereisten voor hybride databeveiliging
                  dropdown icon
                  Een cluster voor hybride databeveiliging instellen
                    Taakstroom implementatie hybride databeveiliging
                      Installatiebestanden downloaden
                        Een configuratie-ISO voor de HDS-hosts maken
                          De HDS-host-OVA installeren
                            VM voor hybride databeveiliging instellen
                              De HDS-configuratie-ISO uploaden en koppelen
                                Configureer het HDS-knooppunt voor proxy-integratie
                                  Het eerste knooppunt in het cluster registreren
                                    Meer knooppunten maken en registreren
                                    dropdown icon
                                    Een proefperiode uitvoeren en naar productie gaan
                                      Proces-naar-productietaakstroom
                                        Proefperiode activeren
                                          Uw implementatie van hybride databeveiliging testen
                                            Hybride databeveiliging controleren
                                              Gebruikers toevoegen aan of verwijderen uit uw proefperiode
                                                Verplaatsen van proefperiode naar productie
                                                  Uw proefperiode beëindigen zonder over te stappen op productie
                                                  dropdown icon
                                                  Uw HDS-implementatie beheren
                                                    HDS-implementatie beheren
                                                      Planning van clusterupgrade instellen
                                                        De knooppuntconfiguratie wijzigen
                                                          Geblokkeerde externe DNS-omzettingsmodus uitschakelen
                                                            Een knooppunt verwijderen
                                                              Noodherstel met behulp van stand-bydatacenter
                                                                (Optioneel) ISO ontkoppelen na HDS-configuratie
                                                                dropdown icon
                                                                Problemen met hybride databeveiliging oplossen
                                                                  Waarschuwingen weergeven en problemen oplossen
                                                                    dropdown icon
                                                                    Waarschuwingen
                                                                      Veelvoorkomende problemen en de stappen om deze op te lossen
                                                                    Problemen met hybride databeveiliging oplossen
                                                                    dropdown icon
                                                                    Andere opmerkingen
                                                                      Bekende problemen voor hybride databeveiliging
                                                                        OpenSSL gebruiken om een PKCS12-bestand te genereren
                                                                          Verkeer tussen de HDS-knooppunten en de cloud
                                                                            dropdown icon
                                                                            Het configureren van inktvis-Proxy's voor hybride data beveiliging
                                                                              WebSocket kan geen verbinding maken via de inktvis-proxy
                                                                          In dit artikel
                                                                          cross icon
                                                                          dropdown icon
                                                                          Voorwoord
                                                                            Nieuwe en gewijzigde informatie
                                                                            dropdown icon
                                                                            Aan de slag met hybride databeveiliging
                                                                              Overzicht van Hybride databeveiliging
                                                                                dropdown icon
                                                                                Architectuur beveiligingsrealm
                                                                                  Gescheiden ruimten (zonder hybride databeveiliging)
                                                                                Samenwerken met andere organisaties
                                                                                  Verwachtingen voor het implementeren van hybride databeveiliging
                                                                                    Installatieproces op hoog niveau
                                                                                      dropdown icon
                                                                                      Implementatiemodel voor hybride databeveiliging
                                                                                        Implementatiemodel voor hybride databeveiliging
                                                                                      Proefmodus hybride databeveiliging
                                                                                        dropdown icon
                                                                                        Stand-by-datacenter voor noodherstel
                                                                                          Stand-by-datacenter instellen voor noodherstel
                                                                                        Proxy-ondersteuning
                                                                                        dropdown icon
                                                                                        Uw omgeving voorbereiden
                                                                                          dropdown icon
                                                                                          Vereisten voor hybride databeveiliging
                                                                                            Cisco Webex-licentievereisten
                                                                                            Vereisten voor Docker Desktop
                                                                                            X.509-certificaatvereisten
                                                                                            Vereisten voor virtuele host
                                                                                            Vereisten voor databaseserver
                                                                                            Vereisten voor externe connectiviteit
                                                                                            Vereisten voor de proxy server
                                                                                          Voldoen aan de vereisten voor hybride databeveiliging
                                                                                          dropdown icon
                                                                                          Een cluster voor hybride databeveiliging instellen
                                                                                            Taakstroom implementatie hybride databeveiliging
                                                                                              Installatiebestanden downloaden
                                                                                                Een configuratie-ISO voor de HDS-hosts maken
                                                                                                  De HDS-host-OVA installeren
                                                                                                    VM voor hybride databeveiliging instellen
                                                                                                      De HDS-configuratie-ISO uploaden en koppelen
                                                                                                        Configureer het HDS-knooppunt voor proxy-integratie
                                                                                                          Het eerste knooppunt in het cluster registreren
                                                                                                            Meer knooppunten maken en registreren
                                                                                                            dropdown icon
                                                                                                            Een proefperiode uitvoeren en naar productie gaan
                                                                                                              Proces-naar-productietaakstroom
                                                                                                                Proefperiode activeren
                                                                                                                  Uw implementatie van hybride databeveiliging testen
                                                                                                                    Hybride databeveiliging controleren
                                                                                                                      Gebruikers toevoegen aan of verwijderen uit uw proefperiode
                                                                                                                        Verplaatsen van proefperiode naar productie
                                                                                                                          Uw proefperiode beëindigen zonder over te stappen op productie
                                                                                                                          dropdown icon
                                                                                                                          Uw HDS-implementatie beheren
                                                                                                                            HDS-implementatie beheren
                                                                                                                              Planning van clusterupgrade instellen
                                                                                                                                De knooppuntconfiguratie wijzigen
                                                                                                                                  Geblokkeerde externe DNS-omzettingsmodus uitschakelen
                                                                                                                                    Een knooppunt verwijderen
                                                                                                                                      Noodherstel met behulp van stand-bydatacenter
                                                                                                                                        (Optioneel) ISO ontkoppelen na HDS-configuratie
                                                                                                                                        dropdown icon
                                                                                                                                        Problemen met hybride databeveiliging oplossen
                                                                                                                                          Waarschuwingen weergeven en problemen oplossen
                                                                                                                                            dropdown icon
                                                                                                                                            Waarschuwingen
                                                                                                                                              Veelvoorkomende problemen en de stappen om deze op te lossen
                                                                                                                                            Problemen met hybride databeveiliging oplossen
                                                                                                                                            dropdown icon
                                                                                                                                            Andere opmerkingen
                                                                                                                                              Bekende problemen voor hybride databeveiliging
                                                                                                                                                OpenSSL gebruiken om een PKCS12-bestand te genereren
                                                                                                                                                  Verkeer tussen de HDS-knooppunten en de cloud
                                                                                                                                                    dropdown icon
                                                                                                                                                    Het configureren van inktvis-Proxy's voor hybride data beveiliging
                                                                                                                                                      WebSocket kan geen verbinding maken via de inktvis-proxy

                                                                                                                                                  Implementatiehandleiding voor Webex Hybride databeveiliging

                                                                                                                                                  list-menuIn dit artikel
                                                                                                                                                  list-menuFeedback?
                                                                                                                                                  Voorwoord

                                                                                                                                                  Nieuwe en gewijzigde informatie

                                                                                                                                                  Datum

                                                                                                                                                  Aangebrachte wijzigingen

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augustus 2023

                                                                                                                                                  23 mei 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker Desktop.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  U kunt het bestand met de privésleutel en de CSR opnieuw gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie.

                                                                                                                                                  30 april 2021

                                                                                                                                                  De VM-vereiste voor lokale harde schijfruimte is gewijzigd in 30 GB. Zie Vereisten voor virtuele host voor meer informatie.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  De HDS-installatietool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO maken voor de HDS-hosts voor meer informatie.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu worden uitgevoerd zonder een gemonteerd ISO-bestand. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Informatie toegevoegd over het hulpprogramma HDS-instellingen en proxy's om een configuratie-ISO voor de HDS-hosts te maken.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Bijgewerkte Installatiebestanden downloaden.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt.

                                                                                                                                                  14 augustus 2020

                                                                                                                                                  De configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces.

                                                                                                                                                  5 augustus 2020

                                                                                                                                                  Bijgewerkte Test uw implementatie voor hybride databeveiliging voor wijzigingen in logboekberichten.

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om het maximale aantal hosts te verwijderen.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Bijgewerkt Een knooppunt verwijderen voor wijzigingen in de gebruikersinterface van Control Hub.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  De ISO voor configuratie maken voor de HDS-hosts is bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk hebt ingesteld.

                                                                                                                                                  29 mei 2020

                                                                                                                                                  Bijgewerkt: maak een configuratie-ISO voor de HDS-hosts om aan te geven dat u ook TLS kunt gebruiken met SQL Server-databases, gebruikersgebruikerswijzigingen en andere verduidelijkingen.

                                                                                                                                                  5 mei 2020

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om de nieuwe vereisten voor ESXi 6.5 weer te geven.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met nieuwe Americas CI-hosts.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met informatie over regionale CI-hosts.

                                                                                                                                                  20 februari 2020Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met informatie over het nieuwe optionele scherm Geavanceerde instellingen in de HDS-installatietool.
                                                                                                                                                  4 februari 2020Proxyserververeisten bijgewerkt.
                                                                                                                                                  16 december 2019De vereiste voor geblokkeerde externe DNS-resolutiemodus is verduidelijkt om te werken in de vereisten voor de proxyserver.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende gedeelten:

                                                                                                                                                  8 november 2019

                                                                                                                                                  U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van erna.

                                                                                                                                                  De volgende gedeelten zijn dienovereenkomstig bijgewerkt:


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Standaard SQL-server toegevoegd aan vereisten voor databaseserver.

                                                                                                                                                  29 augustus 2019Bijlage Squid-proxy's configureren voor hybride databeveiliging toegevoegd met richtlijnen voor het configureren van squid-proxy's om websocketverkeer te negeren voor een goede werking.
                                                                                                                                                  20 augustus 2019

                                                                                                                                                  Er zijn gedeelten toegevoegd en bijgewerkt voor proxyondersteuning voor communicatie van knooppunten voor hybride databeveiliging naar de Webex-cloud.

                                                                                                                                                  Zie het Help-artikel Proxy-ondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie.

                                                                                                                                                  13 juni 2019Bijgewerkte Trial to Production Task Flow met een herinnering om de HdsTrialGroup groepsobject voordat een proefperiode wordt gestart als uw organisatie adreslijstsynchronisatie gebruikt.
                                                                                                                                                  6 maart 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • De hoeveelheid lokale harde schijfruimte per server die u opzij moet zetten bij het voorbereiden van de virtuele hosts die de knooppunten voor hybride databeveiliging worden, van 50 GB tot 20 GB, is gecorrigeerd om de grootte van de schijf weer te geven die door de OVA wordt gemaakt.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Knooppunten voor hybride databeveiliging ondersteunen nu gecodeerde verbindingen met PostgreSQL-databaseservers en gecodeerde logboekverbindingen met een TLS-compatibele syslog-server. Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met instructies.

                                                                                                                                                  • De bestemmings-URL's zijn verwijderd uit de tabel 'Vereisten voor internetconnectiviteit voor hybride gegevensbeveiligingsknooppunt VM's'. De tabel verwijst nu naar de lijst die wordt bijgehouden in de tabel 'Aanvullende URL's voor hybride services van Webex Teams' van Netwerkvereisten voor Webex Teams-services.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybride databeveiliging ondersteunt nu Microsoft SQL Server als database. SQL Server Always On (Always On Failover Clusters en Always on Availability Groups) wordt ondersteund door de JDBC-stuurprogramma's die worden gebruikt in hybride databeveiliging. Er is inhoud toegevoegd met betrekking tot implementatie met SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ondersteuning voor Microsoft SQL Server is alleen bedoeld voor nieuwe implementaties van Hybride databeveiliging. We ondersteunen momenteel geen migratie van gegevens van PostgreSQL naar Microsoft SQL Server in een bestaande implementatie.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 mei 2018

                                                                                                                                                  Gewijzigde terminologie om de rebranding van Cisco Spark weer te geven:

                                                                                                                                                  • Cisco Spark hybride databeveiliging is nu hybride databeveiliging.

                                                                                                                                                  • De Cisco Spark-app is nu de Webex-app.

                                                                                                                                                  • De Cisco Collaboraton Cloud is nu de Webex-cloud.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • In de tabel X.509-certificaatvereisten is gespecificeerd dat het certificaat geen jokercertificaat kan zijn en dat de KMS het CN-domein gebruikt, niet een domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Adreslijstsynchronisatie van de HdsTrialGroup is verduidelijkt.

                                                                                                                                                  • Vaste instructies voor het uploaden van het ISO-configuratiebestand voor montage op de VM-knooppunten.

                                                                                                                                                  18 augustus 2017

                                                                                                                                                  Voor het eerst gepubliceerd

                                                                                                                                                  Aan de slag met hybride databeveiliging

                                                                                                                                                  Overzicht van hybride databeveiliging

                                                                                                                                                  Vanaf dag één is gegevensbeveiliging de belangrijkste focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end inhoudsversleuteling, mogelijk gemaakt door Webex -app-clients die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografische sleutels die clients gebruiken om berichten en bestanden dynamisch te versleutelen en ontsleutelen.

                                                                                                                                                  Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride gegevensbeveiliging verplaatst het KMS en andere beveiligingsgerelateerde functies naar het bedrijfsgegevens , zodat niemand anders dan u de sleutels heeft tot uw versleutelde inhoud.

                                                                                                                                                  Architectuur beveiligingsgebied

                                                                                                                                                  De Webex-cloudarchitectuur scheidt verschillende soorten service in afzonderlijke realms of vertrouwensdomeinen, zoals hieronder wordt weergegeven.

                                                                                                                                                  Scheidingsgebieden (zonder hybride databeveiliging)

                                                                                                                                                  Laten we eerst eens kijken naar deze zuivere cloudcase, waarin Cisco alle functies in zijn clouddomeinen aanbiedt om meer inzicht te krijgen in hybride databeveiliging. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks kunnen worden gecorreleerd met hun persoonlijke informatie zoals e-mailadres, is logisch en fysiek gescheiden van de beveiligingsrealm in datacenter B. Beide zijn op hun beurt gescheiden van de realm waar versleutelde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

                                                                                                                                                  In dit diagram is de client de Webex-app die wordt uitgevoerd op de laptop van een gebruiker en is deze geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

                                                                                                                                                  1. De client maakt een veilige verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel om het bericht te versleutelen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

                                                                                                                                                  2. Het bericht wordt gecodeerd voordat het de client verlaat. De klant stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

                                                                                                                                                  3. Het gecodeerde bericht wordt verzonden naar de nalevingsservice voor nalevingscontroles.

                                                                                                                                                  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

                                                                                                                                                  Wanneer u hybride databeveiliging implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de realms van Cisco.

                                                                                                                                                  Samenwerken met andere organisaties

                                                                                                                                                  Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, routeert uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS te krijgen en stuurt de sleutel vervolgens terug naar uw gebruiker op het oorspronkelijke kanaal.

                                                                                                                                                  De KMS-service die wordt uitgevoerd in organisatie A valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw implementatie voor hybride databeveiliging.

                                                                                                                                                  Verwachtingen voor het implementeren van hybride databeveiliging

                                                                                                                                                  Een implementatie van hybride databeveiliging vereist een aanzienlijke klantbetrokkenheid en een bewustzijn van de risico's van het bezit van coderingssleutels.

                                                                                                                                                  Als u hybride databeveiliging wilt implementeren, moet u het volgende opgeven:

                                                                                                                                                  Volledig verlies van de configuratie-ISO die u maakt voor hybride databeveiliging of de database die u levert, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers inhoud van de ruimte en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar alleen nieuwe inhoud is zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

                                                                                                                                                  • De back-up en het herstel van de database en de configuratie-ISO beheren.

                                                                                                                                                  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing in de databaseschijf of een ramp met het datacenter.


                                                                                                                                                   

                                                                                                                                                  Er is geen mechanisme om sleutels na een HDS-implementatie terug naar de cloud te verplaatsen.

                                                                                                                                                  Installatieproces op hoog niveau

                                                                                                                                                  Dit document behandelt het instellen en beheren van een implementatie voor hybride databeveiliging:

                                                                                                                                                  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset gebruikers in de proefmodus en, zodra uw tests zijn voltooid, het verplaatsen naar productie. Hiermee wordt de hele organisatie geconverteerd om uw cluster voor hybride databeveiliging te gebruiken voor beveiligingsfuncties.

                                                                                                                                                    De installatie-, proef- en productiefasen worden in de volgende drie hoofdstukken in detail besproken.

                                                                                                                                                  • Uw implementatie voor hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch voortdurende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig ondersteuning van Cisco inschakelen. U kunt meldingen op het scherm gebruiken en op e-mail gebaseerde waarschuwingen instellen in Control Hub.

                                                                                                                                                  • Algemene waarschuwingen, stappen voor probleemoplossing en bekende problemen begrijpen: als u problemen ondervindt bij het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  In uw bedrijfsdatacenter implementeert u hybride databeveiliging als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

                                                                                                                                                  Tijdens het installatieproces bieden we u het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt monteert. Het cluster Hybride databeveiliging gebruikt de door u geleverde Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de details van de Syslogd- en databaseverbinding in de HDS-installatietool.)

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  Het minimumaantal knooppunten dat u in een cluster kunt hebben is twee. We raden ten minste drie aan en u kunt er maximaal vijf hebben. Als u meerdere knooppunten hebt, wordt de service niet onderbroken tijdens een software-upgrade of andere onderhoudsactiviteit op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

                                                                                                                                                  Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en logboekactiviteit op dezelfde syslog-server. De knooppunten zelf zijn stateloos, en behandelen belangrijke verzoeken in round-robin mode, zoals geregisseerd door de cloud.

                                                                                                                                                  Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt buiten gebruik wilt stellen, kunt u de registratie ongedaan maken en later opnieuw registreren, indien nodig.

                                                                                                                                                  We ondersteunen slechts één cluster per organisatie.

                                                                                                                                                  Proefmodus voor hybride databeveiliging

                                                                                                                                                  Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u dit eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.

                                                                                                                                                  Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de pilootgebruikers en alle gebruikers met wie ze tijdens de proefperiode interactie hebben gehad door nieuwe ruimten te maken, de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.

                                                                                                                                                  Als u ervan overtuigd bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilootgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, bijvoorbeeld om noodherstel uit te voeren, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilootgebruikers voor de nieuwe proefperiode instellen voordat u teruggaat naar de productiemodus. Of gebruikers op dit moment toegang tot gegevens behouden, hangt af van het feit of u back-ups van de sleutelgegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster hebt onderhouden.

                                                                                                                                                  Standby-datacenter voor noodherstel

                                                                                                                                                  Tijdens de implementatie stelt u een beveiligd stand-bydatacenter in. In het geval van een ramp met een datacenter kunt u uw implementatie handmatig overzetten naar het stand-bydatacenter.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Handmatige failover naar stand-bydatacenter

                                                                                                                                                  De databases van de actieve en stand-by datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is om de failover uit te voeren, tot een minimum wordt beperkt. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten zijn geregistreerd bij de organisatie, maar geen verkeer afhandelen. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van de HDS-software.


                                                                                                                                                   

                                                                                                                                                  De actieve knooppunten voor hybride databeveiliging moeten altijd in hetzelfde datacenter zijn als de actieve databaseserver.

                                                                                                                                                  Standby-datacenter instellen voor noodherstel

                                                                                                                                                  Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Het stand-bydatacenter moet de productieomgeving van VM's en een back-up PostgreSQL- of Microsoft SQL Server-database weerspiegelen. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. (Zie Standby Data Center for Disaster Recovery voor een overzicht van dit failovermodel.)

                                                                                                                                                  • Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database met actieve en passieve clusterknooppunten.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.


                                                                                                                                                   

                                                                                                                                                  Het ISO-bestand moet een kopie zijn van het originele ISO-bestand van het primaire datacenter waarop de volgende configuratieupdates moeten worden uitgevoerd.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar wordt er geen verkeer afgehandeld.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslogs om te controleren of de knooppunten zich in de passieve modus bevinden. U moet het bericht 'KMS geconfigureerd in passieve modus' in de syslogs kunnen bekijken.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Na het configureren passiveMode in het ISO-bestand en opslaan, kunt u een andere kopie van het ISO-bestand maken zonder de passiveMode configureren en opslaan op een veilige locatie. Deze kopie van het ISO-bestand zonder passiveMode geconfigureerd kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met behulp van het stand-bydatacenter voor de gedetailleerde failoverprocedure.

                                                                                                                                                  Proxyondersteuning

                                                                                                                                                  Hybride databeveiliging ondersteunt expliciete, transparante en niet-inspecterende proxy's. U kunt deze proxy's aan uw implementatie koppelen zodat u het verkeer van de onderneming naar de cloud kunt beveiligen en bewaken. U kunt een platformbeheerinterface op de knooppunten gebruiken voor certificaatbeheer en om de algehele verbindingsstatus te controleren nadat u de proxy op de knooppunten hebt ingesteld.

                                                                                                                                                  De knooppunten voor hybride databeveiliging ondersteunen de volgende proxyopties:

                                                                                                                                                  • Geen proxy: de standaardinstelling als u de HDS-knooppuntconfiguratie Vertrouwensarchief en proxy niet gebruikt om een proxy te integreren. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante niet-inspecterende proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante tunneling of inspectie van proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP- of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).

                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welk proxyserver- en verificatieschema u moet gebruiken. Als u een expliciete proxy wilt configureren, moet u de volgende informatie op elk knooppunt invoeren:

                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

                                                                                                                                                      • HTTP: geeft alle verzoeken weer die de client verzendt en beheert deze.

                                                                                                                                                      • HTTPS: biedt een kanaal naar de server. De client ontvangt het servercertificaat en valideert het.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar als u HTTPS selecteert als proxyprotocol.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                  Voorbeeld van knooppunten voor hybride databeveiliging en proxy

                                                                                                                                                  In dit diagram ziet u een voorbeeldverbinding tussen hybride databeveiliging, netwerk en een proxy. Voor de opties voor transparante inspectie en HTTPS expliciete inspectie proxy moet hetzelfde hoofdcertificaat worden geïnstalleerd op de proxy en op de knooppunten voor hybride databeveiliging.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus (expliciete proxyconfiguraties)

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. In implementaties met expliciete proxyconfiguraties die geen externe DNS-resolutie voor interne clients toestaan, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie als het knooppunt de DNS-servers niet kan opvragen. In deze modus kunnen knooppuntregistratie en andere proxyverbindingstests worden voortgezet.

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  Vereisten voor hybride databeveiliging

                                                                                                                                                  Vereisten voor Cisco Webex-licenties

                                                                                                                                                  Hybride databeveiliging implementeren:

                                                                                                                                                  Vereisten voor Docker Desktop

                                                                                                                                                  Voordat u uw HDS-knooppunten installeert, hebt u Docker Desktop nodig om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie heeft mogelijk een betaald abonnement voor Docker Desktop nodig. Voor meer informatie raadpleegt u het Docker-blogbericht ' Docker werkt onze productabonnementen bij en verlengt deze ".

                                                                                                                                                  Vereisten voor X.509-certificaten

                                                                                                                                                  De certificaatketen moet aan de volgende vereisten voldoen:

                                                                                                                                                  Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

                                                                                                                                                  Vereiste

                                                                                                                                                  Details

                                                                                                                                                  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

                                                                                                                                                  Standaard vertrouwen we de CA’s in de Mozilla lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Bevat een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

                                                                                                                                                  • Is geen jokercertificaat

                                                                                                                                                  De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die uw organisatie weergeeft, bijvoorbeeld: hds.company.com.

                                                                                                                                                  De algemene naam mag geen * (jokerteken) bevatten.

                                                                                                                                                  De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren bij clients van de Webex-app. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  Zodra u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat kan worden toegepast op zowel de proefperiode- als productie-implementaties.

                                                                                                                                                  • Niet-SHA1 handtekening

                                                                                                                                                  De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

                                                                                                                                                  • Geformatteerd als een met een wachtwoord beveiligd PKCS #12-bestand

                                                                                                                                                  • Gebruik de vriendelijke naam van kms-private-key om het certificaat, de privésleutel en eventuele tussenliggende certificaten te taggen die moeten worden geüpload.

                                                                                                                                                  U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

                                                                                                                                                  U moet het wachtwoord invoeren wanneer u de HDS-installatietool uitvoert.

                                                                                                                                                  De KMS-software dwingt sleutelgebruik of uitgebreide beperkingen voor sleutelgebruik niet af. Sommige certificeringsinstanties vereisen dat uitgebreide belangrijke gebruiksbeperkingen worden toegepast op elk certificaat, zoals serververificatie. U mag de serververificatie of andere instellingen gebruiken.

                                                                                                                                                  Vereisten voor virtuele host

                                                                                                                                                  De virtuele hosts die u instelt als knooppunten voor hybride databeveiliging in uw cluster, hebben de volgende vereisten:

                                                                                                                                                  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich in hetzelfde beveiligde datacenter bevinden

                                                                                                                                                  • VMware ESXi 6.5 (of hoger) geïnstalleerd en actief.


                                                                                                                                                     

                                                                                                                                                    U moet upgraden als u een eerdere versie van ESXi hebt.

                                                                                                                                                  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

                                                                                                                                                  Vereisten voor databaseserver


                                                                                                                                                   

                                                                                                                                                  Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. Wanneer de HDS-toepassingen zijn geïnstalleerd, maakt u het databaseschema.

                                                                                                                                                  Er zijn twee opties voor databaseserver. De vereisten voor elk zijn als volgt:

                                                                                                                                                  Tabel 2. Vereisten databaseserver per type database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

                                                                                                                                                  • SQL Server 2016, 2017 of 2019 (Enterprise of Standard) geïnstalleerd.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL JDBC-stuurprogramma van SQL Server 4.6

                                                                                                                                                  Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover Cluster Instances en Always On availability groups).

                                                                                                                                                  Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

                                                                                                                                                  Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

                                                                                                                                                  • De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

                                                                                                                                                  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees-/schrijftoegang hebben tot de database.

                                                                                                                                                  • De DNS-servers die u aan HDS-knooppunten levert, moeten uw Key Distribution Center (KDC) kunnen oplossen.

                                                                                                                                                  • U kunt de HDS-database-instantie op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een servicenaam registreren voor Kerberos-verbindingen.

                                                                                                                                                    De HDS-installatietool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens van uw ISO-configuratie om de SPN te construeren wanneer ze toegang aanvragen met Kerberos-verificatie.

                                                                                                                                                  Externe connectiviteitsvereisten

                                                                                                                                                  Configureer uw firewall om de volgende verbinding voor de HDS-toepassingen toe te staan:

                                                                                                                                                  App

                                                                                                                                                  Protocol

                                                                                                                                                  Poort

                                                                                                                                                  Richting van app

                                                                                                                                                  Bestemming

                                                                                                                                                  Knooppunten voor hybride databeveiliging

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS en WSS

                                                                                                                                                  • Webex-servers:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • Andere URL's die worden vermeld voor beveiliging van hybride gegevens in de tabel Aanvullende URL's voor hybride Webex-services met netwerkvereisten voor Webex-services

                                                                                                                                                  Hulpprogramma voor HDS-instellingen

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die inkomend zijn naar de knooppunten voor hybride databeveiliging, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients voor beheerdoeleinden toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22.

                                                                                                                                                  De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:

                                                                                                                                                  Regio

                                                                                                                                                  Host-URL's van Common Identity

                                                                                                                                                  Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europese Unie

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Vereisten voor proxyserver

                                                                                                                                                  • We ondersteunen officieel de volgende proxyoplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride databeveiliging.

                                                                                                                                                    • Transparante proxy: Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Expliciete proxy: Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de oprichting van websocket verstoren (wss:) verbindingen. Zie Squid-proxy's configureren voor hybride databeveiliging voor meer informatie over dit probleem.

                                                                                                                                                  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

                                                                                                                                                    • Geen verificatie met HTTP of HTTPS

                                                                                                                                                    • Basisverificatie met HTTP of HTTPS

                                                                                                                                                    • Digestverificatie met alleen HTTPS

                                                                                                                                                  • Voor een transparante inspecterende proxy of een expliciete HTTPS-proxy moet u een kopie hebben van het hoofdcertificaat van de proxy. De implementatie-instructies in deze handleiding vertellen u hoe u de kopie kunt uploaden naar de vertrouwensarchieven van de knooppunten voor hybride databeveiliging.

                                                                                                                                                  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 te dwingen via de proxy te routeren.

                                                                                                                                                  • Proxy's die webverkeer inspecteren, kunnen de verbindingen met de websocket verstoren. Indien dit probleem zich voordoet, verkeer overslaan (niet inspecteren) naar wbx2.com en ciscospark.com zal het probleem oplossen.

                                                                                                                                                  Voldoen aan de vereisten voor hybride databeveiliging

                                                                                                                                                  Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
                                                                                                                                                  1

                                                                                                                                                  Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en ontvang de referenties van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

                                                                                                                                                  2

                                                                                                                                                  Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  3

                                                                                                                                                  Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt ten minste twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter zijn geplaatst en voldoen aan de vereisten in Vereisten voor virtuele host.

                                                                                                                                                  4

                                                                                                                                                  Bereid de databaseserver voor die zal fungeren als de belangrijkste gegevensopslag voor het cluster, overeenkomstig de vereisten voor de databaseserver. De databaseserver moet samen met de virtuele hosts in het beveiligde datacenter worden geplaatst.

                                                                                                                                                  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik de standaarddatabase niet. De HDS-toepassingen maken het databaseschema wanneer ze zijn geïnstalleerd.)

                                                                                                                                                  2. Verzamel de gegevens die de knooppunten gebruiken om met de databaseserver te communiceren:

                                                                                                                                                    • de hostnaam of het IP-adres (host) en de poort

                                                                                                                                                    • de naam van de database (dbname) voor key storage

                                                                                                                                                    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de database met sleutelopslag

                                                                                                                                                  5

                                                                                                                                                  Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben.

                                                                                                                                                  6

                                                                                                                                                  Stel een Syslog-host in om logboeken te verzamelen van de knooppunten in het cluster. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Maak een veilig back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.


                                                                                                                                                   

                                                                                                                                                  Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die worden gebruikt voor codering en decodering van inhoud, leidt het niet onderhouden van een operationele implementatie tot het ONHERSTELBARE VERLIES van die inhoud.

                                                                                                                                                  Clients van de Webex-app brengen hun sleutels in de cache, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen niet te voorkomen zijn, kunnen ze worden hersteld. Volledig verlies (geen back-ups beschikbaar) van de database of het ISO-configuratiebestand leidt echter tot niet-herstelbare klantgegevens. Van de beheerders van de knooppunten voor hybride databeveiliging wordt verwacht dat ze regelmatig back-ups van de database en het configuratie-ISO-bestand onderhouden, en dat ze bereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als er een catastrofale storing optreedt.

                                                                                                                                                  8

                                                                                                                                                  Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw hybride databeveiligingsknooppunten mogelijk maakt, zoals beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  9

                                                                                                                                                  Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft tot het besturingssysteem op http://127.0.0.1:8080.

                                                                                                                                                  U gebruikt het Docker-exemplaar om de HDS-installatietool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratie-informatie op voor alle knooppunten voor hybride databeveiliging. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker Desktop voor meer informatie.

                                                                                                                                                  Om de HDS-setuptool te installeren en uit te voeren, moet de lokale machine de connectiviteit hebben die wordt beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  10

                                                                                                                                                  Als u een proxy integreert met hybride databeveiliging, moet u ervoor zorgen dat deze voldoet aan de vereisten voor de proxyserver.

                                                                                                                                                  11

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, maakt u een groep in Active Directory met de naam HdsTrialGroup en pilootgebruikers toevoegen. De proefgroep kan maximaal 250 gebruikers hebben. Het HdsTrialGroup object moet worden gesynchroniseerd met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Als u een groepsobject wilt synchroniseren, selecteert u het in de van de directoryconnector Configuratie > menu Objectselectie. (Zie de Implementatiehandleiding voor Cisco Directoryconnector voor gedetailleerde instructies.)


                                                                                                                                                   

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Houd er bij het selecteren van pilootgebruikers rekening mee dat als u besluit de implementatie voor hybride databeveiliging permanent te deactiveren, alle gebruikers geen toegang meer hebben tot inhoud in de ruimten die door de pilootgebruikers zijn gemaakt. Het verlies wordt duidelijk zodra de apps van gebruikers hun in de cache opgeslagen kopieën van de inhoud vernieuwen.

                                                                                                                                                  Een cluster voor hybride databeveiliging instellen

                                                                                                                                                  Taakstroom implementatie hybride databeveiliging

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  1

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  Download het OVA-bestand naar uw lokale computer voor later gebruik.

                                                                                                                                                  2

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Gebruik de HDS-installatietool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Maak een virtuele machine vanuit het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  4

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd ten tijde van de OVA-implementatie.

                                                                                                                                                  5

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  6

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u indien nodig het proxycertificaat toe aan het vertrouwensarchief.

                                                                                                                                                  7

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Registreer de VM bij de Cisco Webex-cloud als een knooppunt voor hybride databeveiliging.

                                                                                                                                                  8

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Voltooi de clusterinstelling.

                                                                                                                                                  9

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)

                                                                                                                                                  Totdat u een proefperiode start, genereren uw knooppunten een alarm dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). Je gebruikt dit bestand later in het installatieproces.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en klik vervolgens op Services.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik vervolgens op Instellen.

                                                                                                                                                  Als de kaart is uitgeschakeld of u deze niet ziet, neemt u contact op met uw accountteam of uw partnerorganisatie. Geef uw accountnummer en vraag of u uw organisatie wilt inschakelen voor hybride databeveiliging. Als u het accountnummer wilt vinden, klikt u op het tandwiel rechtsboven naast de naam van uw organisatie.


                                                                                                                                                   

                                                                                                                                                  U kunt de OVA ook op elk gewenst moment downloaden via het gedeelte Help op de pagina Instellingen. Klik op de kaart Hybride databeveiliging op Instellingen bewerken om de pagina te openen. Klik vervolgens op Hybride databeveiligingssoftware downloaden in het gedeelte Help.


                                                                                                                                                   

                                                                                                                                                  Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de nieuwste versie van het OVA-bestand downloadt.

                                                                                                                                                  3

                                                                                                                                                  Selecteer Nee om aan te geven dat u het knooppunt nog niet hebt ingesteld en klik vervolgens op Volgende.

                                                                                                                                                  Het OVA-bestand begint automatisch te downloaden. Sla het bestand op een locatie op uw computer op.
                                                                                                                                                  4

                                                                                                                                                  U kunt ook op Implementatiehandleiding openen klikken om te controleren of er een latere versie van deze handleiding beschikbaar is.

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Het installatieproces voor hybride databeveiliging maakt een ISO-bestand. Vervolgens gebruikt u de ISO om uw host voor hybride databeveiliging te configureren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5 opent. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de nieuwste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals:

                                                                                                                                                    • Aanmeldgegevens database

                                                                                                                                                    • Certificaatupdates

                                                                                                                                                    • Wijzigingen in het autorisatiebeleid

                                                                                                                                                  • Als u databaseverbindingen wilt versleutelen, stelt u uw PostgreSQL- of SQL Server-implementatie voor TLS in.

                                                                                                                                                  1

                                                                                                                                                  Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Met deze stap worden eerdere afbeeldingen van het HDS-configuratieprogramma opgeschoond. Als er geen eerdere afbeeldingen zijn, wordt een fout geretourneerd die u kunt negeren.

                                                                                                                                                  2

                                                                                                                                                  Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download de nieuwste stabiele installatiekopie voor uw omgeving:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                  • In normale omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  Gebruik een webbrowser om naar de localhost te gaan http://127.0.0.1:8080 en voer de gebruikersnaam van de klantbeheerder voor Control Hub in de prompt in.

                                                                                                                                                  De tool gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Het hulpprogramma geeft vervolgens de standaard aanmeldingsprompt weer.

                                                                                                                                                  7

                                                                                                                                                  Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de Control Hub-klantbeheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

                                                                                                                                                  8

                                                                                                                                                  Klik op de overzichtspagina van de installatietool op Aan de slag.

                                                                                                                                                  9

                                                                                                                                                  Op de pagina ISO Import hebt u de volgende opties:

                                                                                                                                                  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
                                                                                                                                                  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de browse en uploadt u het.
                                                                                                                                                  10

                                                                                                                                                  Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  • Als u nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat OK is, klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat is verlopen of als u het wilt vervangen, selecteert u Nee voor Doorgaan met gebruik van HDS-certificaatketen en privésleutel uit vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
                                                                                                                                                  11

                                                                                                                                                  Voer het databaseadres en het account voor HDS in om toegang te krijgen tot uw belangrijke gegevensopslag:

                                                                                                                                                  1. Selecteer uw Database Type (PostgreSQL of Microsoft SQL Server).

                                                                                                                                                    Als u Microsoft SQL Server kiest, krijgt u een veld Verificatietype.

                                                                                                                                                  2. (Alleen Microsoft SQL Server) Selecteer uw verificatietype:

                                                                                                                                                    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam.

                                                                                                                                                    • Windows-verificatie: U hebt een Windows-account in de indeling nodig username@DOMAIN in het veld Gebruikersnaam.

                                                                                                                                                  3. Voer het adres van de databaseserver in het formulier in <hostname>:<port> of <IP-address>:<port>.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    dbhost.example.org:1433 of 198.51.100.17:1433

                                                                                                                                                    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

                                                                                                                                                    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

                                                                                                                                                  4. Voer de databasenaam in.

                                                                                                                                                  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten in de database voor sleutelopslag.

                                                                                                                                                  12

                                                                                                                                                  Selecteer een TLS-databaseverbindingsmodus:

                                                                                                                                                  Mode

                                                                                                                                                  Beschrijving

                                                                                                                                                  Voorkeur voor TLS (standaardoptie)

                                                                                                                                                  Voor HDS-knooppunten is geen TLS vereist om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

                                                                                                                                                  TLS vereisen

                                                                                                                                                  HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  TLS vereisen en certificaatondertekenaar verifiëren


                                                                                                                                                   

                                                                                                                                                  Deze modus is niet van toepassing op SQL Server-databases.

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik de hoofdcertificaat van database control onder de vervolgkeuzelijst om het hoofdcertificaat voor deze optie te uploaden.

                                                                                                                                                  TLS vereisen en certificaatondertekenaar en hostnaam verifiëren

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databasehost en -poort. De namen moeten exact overeenkomen, anders verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik de hoofdcertificaat van database control onder de vervolgkeuzelijst om het hoofdcertificaat voor deze optie te uploaden.

                                                                                                                                                  Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-installatietool de TLS-verbinding met de databaseserver. Het hulpprogramma verifieert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, geeft het hulpprogramma een foutmelding waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en wilt doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de HDS-installatietool niet met succes kan worden getest.)

                                                                                                                                                  13

                                                                                                                                                  Configureer uw Syslogd-server op de pagina Systeemlogboeken:

                                                                                                                                                  1. Voer de URL van de syslog-server in.

                                                                                                                                                    Als de server niet DNS-oplosbaar is vanuit de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij Syslogd-host 10.92.43.23 op UDP-poort 514.
                                                                                                                                                  2. Als u uw server instelt om TLS-codering te gebruiken, controleert u Is uw syslog-server geconfigureerd voor SSL-codering?.

                                                                                                                                                    Als u dit selectievakje inschakelt, moet u een TCP-URL invoeren, zoals tcp://10.92.43.23:514.

                                                                                                                                                  3. Kies in de vervolgkeuzelijst Beëindiging syslog-record kiezen de juiste instelling voor uw ISO-bestand: Kies of Newline wordt gebruikt voor Graylog en Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Selecteer deze keuze voor Graylog en Rsyslog TCP.

                                                                                                                                                  4. Klik op Doorgaan.

                                                                                                                                                  14

                                                                                                                                                  (Optioneel) U kunt de standaardwaarde voor bepaalde parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u wilt wijzigen:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik op Doorgaan op het scherm Wachtwoord serviceaccounts opnieuw instellen.

                                                                                                                                                  Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u wilt deze opnieuw instellen om eerdere ISO-bestanden ongeldig te maken.

                                                                                                                                                  16

                                                                                                                                                  Klik op ISO-bestand downloaden. Sla het bestand op een gemakkelijk te vinden locatie op.

                                                                                                                                                  17

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem.

                                                                                                                                                  Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  18

                                                                                                                                                  Als u het installatieprogramma wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten voor herstel te maken of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het herstellen van de sleutels uit uw PostgreSQL- of Microsoft SQL Server-database is niet mogelijk.


                                                                                                                                                   

                                                                                                                                                  We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze kwijtraakt.

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Gebruik deze procedure om een virtuele machine te maken vanuit het OVA-bestand.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

                                                                                                                                                  2

                                                                                                                                                  Selecteer File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

                                                                                                                                                  4

                                                                                                                                                  Op de Selecteer een naam en map pagina, voer een in Naam virtuele machine voor het knooppunt (bijvoorbeeld 'HDS_Node_1') kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Op de Een computerbron selecteren pagina, kies de bestemming compute resource en klik vervolgens op Volgende.

                                                                                                                                                  Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloondetails weergegeven.

                                                                                                                                                  6

                                                                                                                                                  Controleer de sjabloondetails en klik op Volgende.

                                                                                                                                                  7

                                                                                                                                                  Als u wordt gevraagd de resourceconfiguratie te kiezen op de Configuratie pagina, klik op 4 CPU en klik vervolgens op Volgende.

                                                                                                                                                  8

                                                                                                                                                  Op de Selecteer opslag pagina, klik op Volgende om de standaard schijfindeling en het VM-opslagbeleid te accepteren.

                                                                                                                                                  9

                                                                                                                                                  Op de Selecteer netwerken-pagina, kies de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

                                                                                                                                                  10

                                                                                                                                                  Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen:

                                                                                                                                                  • Hostnaam: voer de FQDN (hostnaam en domein) of een hostnaam met één woord in voor het knooppunt.

                                                                                                                                                     
                                                                                                                                                    • U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                    • Als u een succesvolle registratie bij de cloud wilt garanderen, gebruikt u alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld. Kapitalisatie wordt momenteel niet ondersteund.

                                                                                                                                                    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

                                                                                                                                                  • IP-adres— Voer het IP-adres in voor de interne interface van het knooppunt.

                                                                                                                                                     

                                                                                                                                                    Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  • Masker: voer het adres van het subnetmasker in de punt-decimale notatie in. Bijvoorbeeld 255.255.255.0.
                                                                                                                                                  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat als toegangspunt dient voor een ander netwerk.
                                                                                                                                                  • DNS-servers: voer een door komma's gescheiden lijst met DNS-servers in, die domeinnamen vertalen naar numerieke IP-adressen. (Maximaal 4 DNS-vermeldingen zijn toegestaan.)
                                                                                                                                                  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die in uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
                                                                                                                                                  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster bereikbaar zijn vanaf clients in uw netwerk voor administratieve doeleinden.

                                                                                                                                                  Indien gewenst kunt u de configuratie van de netwerkinstellingen overslaan en de stappen volgen in De hybride databeveiliging VM instellen om de instellingen vanaf de knooppuntconsole te configureren.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  11

                                                                                                                                                  Klik met de rechtermuisknop op het knooppunt VM en kies Voeding > Voeding aan.

                                                                                                                                                  De software voor hybride databeveiliging is geïnstalleerd als gast op de VM-host. U kunt zich nu aanmelden bij de console en het knooppunt configureren.

                                                                                                                                                  Tips voor het oplossen van problemen

                                                                                                                                                  U kunt een vertraging van een paar minuten ervaren voordat de knooppuntcontainers naar boven komen. Er verschijnt een brugfirewallbericht op de console tijdens de eerste keer opstarten, tijdens welke u zich niet kunt aanmelden.

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

                                                                                                                                                  1

                                                                                                                                                  Selecteer in de VMware vSphere-client uw knooppunt voor hybride databeveiliging VM en selecteer het tabblad Console.

                                                                                                                                                  De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldprompt niet wordt weergegeven, drukt u op Enter.
                                                                                                                                                  2

                                                                                                                                                  Gebruik de volgende standaardaanmelding en het volgende wachtwoord om u aan te melden en de aanmeldgegevens te wijzigen:

                                                                                                                                                  1. Aanmelden: admin

                                                                                                                                                  2. Wachtwoord: cisco

                                                                                                                                                  Aangezien u zich voor de eerste keer aanmeldt bij uw VM, moet u het beheerderswachtwoord wijzigen.

                                                                                                                                                  3

                                                                                                                                                  Als u de netwerkinstellingen al hebt geconfigureerd in Install the HDS Host OVA, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken.

                                                                                                                                                  4

                                                                                                                                                  Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  5

                                                                                                                                                  (Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om aan uw netwerkbeleid te voldoen.

                                                                                                                                                  U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                  6

                                                                                                                                                  Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen van kracht worden.

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Omdat het ISO-bestand de hoofdsleutel bevat, mag het alleen worden blootgesteld op een 'need to know'-basis, voor toegang door de VM's voor hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen die beheerders toegang hebben tot de gegevensopslag.

                                                                                                                                                  1

                                                                                                                                                  Upload het ISO-bestand vanaf uw computer:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

                                                                                                                                                  2. Klik in de hardwarelijst van het tabblad Configuratie op Opslag.

                                                                                                                                                  3. Klik in de lijst Datastores met de rechtermuisknop op de datastore voor uw VM's en klik op Browse Datastore.

                                                                                                                                                  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

                                                                                                                                                  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

                                                                                                                                                  6. Klik op Ja om de waarschuwing voor de upload-/downloadbewerking te accepteren en sluit het dialoogvenster Gegevensopslag.

                                                                                                                                                  2

                                                                                                                                                  Koppel het ISO-bestand:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  2. Klik op OK om de waarschuwing voor beperkte bewerkingsopties te accepteren.

                                                                                                                                                  3. Klikken CD/DVD Drive 1, selecteer de optie om te koppelen vanuit een ISO-bestand voor de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

                                                                                                                                                  4. Controleer Connected en Connect bij ingeschakeld contact.

                                                                                                                                                  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als uw IT-beleid dit vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride databeveiliging. Als u een transparante inspecterende proxy of een expliciete HTTPS-proxy kiest, kunt u de interface van het knooppunt gebruiken om het hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding controleren vanuit de interface en mogelijke problemen oplossen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  1

                                                                                                                                                  Voer de URL voor het instellen van het HDS-knooppunt in https://[HDS Node IP or FQDN]/setup voer in een webbrowser de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Trust Store & Proxy en kies een optie:

                                                                                                                                                  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante niet-inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om met een niet-inspecterende proxy te werken. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTPS-configuratiewijzigingen nodig voor de implementatie van hybride databeveiliging. De HDS-knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).
                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de client (HDS-knooppunten) aan welke proxyserver moet worden gebruikt. Deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: kies http (bekijkt en beheert alle aanvragen die van de client worden ontvangen) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar voor HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                  Volg de volgende stappen voor een transparante inspecterende proxy, een expliciete HTTP-proxy met basisverificatie of een expliciete HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik op Upload a Root Certificate or End Entity Certificate (Een hoofdcertificaat uploaden of een entiteitscertificaat beëindigen) en navigeer vervolgens naar een hoofdcertificaat voor de proxy kiezen.

                                                                                                                                                  Het certificaat is geüpload maar nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijl van de chevron bij de naam van de certificaatverstrekker voor meer informatie of klik op Verwijderen als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

                                                                                                                                                  Als de verbindingstest mislukt, ziet u een foutbericht met de reden en hoe u het probleem kunt oplossen.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken. Deze voorwaarde wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de modus Geblokkeerde externe DNS-resolutie. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u Geblokkeerde externe DNS-resolutiemodus uitschakelen.

                                                                                                                                                  5

                                                                                                                                                  Nadat de verbindingstest is verlopen en de expliciete proxy alleen is ingesteld op https, schakelt u de schakelaar in op Alle poort 443/444-https-verzoeken van dit knooppunt routeren via de expliciete proxy. Deze instelling heeft 15 seconden nodig om van kracht te worden.

                                                                                                                                                  6

                                                                                                                                                  Klik op Alle certificaten installeren in de Trust Store (wordt weergegeven voor een expliciete HTTPS-proxy of een transparante inspecterende proxy) of Opnieuw opstarten (wordt weergegeven voor een expliciete HTTP-proxy), lees de prompt en klik vervolgens op Installeren als u klaar bent.

                                                                                                                                                  Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

                                                                                                                                                  7

                                                                                                                                                  Nadat het knooppunt opnieuw is opgestart, meldt u zich indien nodig opnieuw aan en opent u de pagina Overzicht om de connectiviteitscontroles te controleren en ervoor te zorgen dat ze allemaal groen zijn.

                                                                                                                                                  Met de proxyverbindingscontrole wordt alleen een subdomein van webex.com getest. Als er verbindingsproblemen zijn, is een algemeen probleem dat sommige van de clouddomeinen die in de installatie-instructies worden vermeld, worden geblokkeerd bij de proxy.

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Voor deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in de Hybride databeveiliging VM instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

                                                                                                                                                  Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd om redundantie te bieden.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Selecteer Services in het menu links op het scherm.

                                                                                                                                                  3

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellen.

                                                                                                                                                  De pagina Knooppunt voor hybride databeveiliging registreren wordt weergegeven.
                                                                                                                                                  4

                                                                                                                                                  Selecteer Ja om aan te geven dat u het knooppunt hebt ingesteld en klaar bent om het te registreren. Klik vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Voer in het eerste veld een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

                                                                                                                                                  We raden u aan een cluster een naam te geven op basis van waar de knooppunten van het cluster zich geografisch bevinden. Voorbeelden: "San Francisco" of "New York" of "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                  Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein dat u hebt gebruikt in De VM voor hybride databeveiliging instellen.

                                                                                                                                                  Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik op Ga naar knooppunt.

                                                                                                                                                  8

                                                                                                                                                  Klik in het waarschuwingsbericht op Doorgaan.

                                                                                                                                                  Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  9

                                                                                                                                                  Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                  Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  10

                                                                                                                                                  Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Op de pagina Hybride databeveiliging wordt het nieuwe cluster weergegeven met het knooppunt dat u hebt geregistreerd. Het knooppunt downloadt automatisch de nieuwste software vanuit de cloud.

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Als u extra knooppunten aan uw cluster wilt toevoegen, maakt u gewoon extra VM's en monteert u hetzelfde configuratie-ISO-bestand en registreert u het knooppunt. We raden u aan ten minste 3 knooppunten te hebben.

                                                                                                                                                   

                                                                                                                                                  Op dit moment zijn de back-up-VM's die u hebt gemaakt in Voldoen aan de vereisten voor hybride databeveiliging stand-byhosts die alleen worden gebruikt in het geval van noodherstel. Ze zijn tot die tijd niet geregistreerd bij het systeem. Zie Noodherstel met behulp van het stand-bydatacenter voor meer informatie.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Maak een nieuwe virtuele machine vanuit de OVA en herhaal de stappen in Installeer de HDS-host-OVA.

                                                                                                                                                  2

                                                                                                                                                  Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De hybride databeveiliging instellen.

                                                                                                                                                  3

                                                                                                                                                  Herhaal op de nieuwe VM de stappen in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Configureer het HDS-knooppunt voor proxyintegratie indien nodig voor het nieuwe knooppunt.

                                                                                                                                                  5

                                                                                                                                                  Registreer het knooppunt.

                                                                                                                                                  1. Selecteer in https://admin.webex.comServices in het menu links op het scherm.

                                                                                                                                                  2. Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik op Resources.

                                                                                                                                                    De pagina Resources voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3. Klik op Resource toevoegen.

                                                                                                                                                  4. Selecteer in het eerste veld de naam van uw bestaande cluster.

                                                                                                                                                  5. Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                    Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex-cloud.
                                                                                                                                                  6. Klik op Ga naar knooppunt.

                                                                                                                                                    Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u machtigingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Uw knooppunt is geregistreerd. Houd er rekening mee dat totdat u een proefperiode start, uw knooppunten een alarm genereren dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)
                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie

                                                                                                                                                  Doorstroom proefperiode naar productietaak

                                                                                                                                                  Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers toevoegen en deze gaan gebruiken om uw implementatie te testen en te verifiëren ter voorbereiding op de overgang naar productie.

                                                                                                                                                  1

                                                                                                                                                  Indien van toepassing, synchroniseer de HdsTrialGroup groepsobject.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  2

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd.

                                                                                                                                                  3

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Controleer of belangrijke aanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Controleer de status en stel e-mailmeldingen in voor alarmen.

                                                                                                                                                  5

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  6

                                                                                                                                                  Voltooi de onderzoeksfase met een van de volgende acties:

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Proefperiode starten.

                                                                                                                                                  De servicestatus verandert in de proefmodus.
                                                                                                                                                  4

                                                                                                                                                  Klik op Gebruikers toevoegen en voer het e-mailadres van een of meer gebruikers in om uw knooppunten voor hybride databeveiliging te gebruiken voor codering- en indexeringsservices.

                                                                                                                                                  (Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory om de testgroep te beheren, HdsTrialGroup.)

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging te testen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Stel uw implementatie voor hybride databeveiliging in.

                                                                                                                                                  • Activeer de proefperiode en voeg verschillende proefgebruikers toe.

                                                                                                                                                  • Zorg ervoor dat u toegang hebt tot de syslog om te controleren of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilootgebruikers en maak vervolgens een ruimte en nodig ten minste één pilootgebruiker en één niet-pilootgebruiker uit.


                                                                                                                                                   

                                                                                                                                                  Als u de implementatie van hybride databeveiliging deactiveert, is inhoud in ruimten die pilootgebruikers maken niet meer toegankelijk zodra de in de client opgeslagen kopieën van de coderingssleutels zijn vervangen.

                                                                                                                                                  2

                                                                                                                                                  Verzend berichten naar de nieuwe ruimte.

                                                                                                                                                  3

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de sleutelaanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1. Als u wilt controleren of een gebruiker eerst een veilig kanaal naar de KMS heeft ingesteld, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden, zoals de volgende (identificatiegegevens ingekort voor leesbaarheid):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om te controleren of een gebruiker een bestaande sleutel van het KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Om te controleren of een gebruiker een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Als u wilt controleren of een gebruiker die het maken van een nieuw KMS Resource Object (KRO) aanvraagt wanneer een ruimte of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Een statusindicator in Control Hub geeft aan of alles goed gaat met de implementatie van hybride databeveiliging. Meld u aan voor e-mailmeldingen voor meer proactieve waarschuwingen. U krijgt een melding wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
                                                                                                                                                  1

                                                                                                                                                  Selecteer in Control HubServices in het menu links op het scherm.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellingen.

                                                                                                                                                  De pagina Instellingen voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3

                                                                                                                                                  Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen gescheiden door komma's en druk op Enter.

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  Nadat u een proefperiode hebt geactiveerd en de eerste set proefgebruikers hebt toegevoegd, kunt u op elk gewenst moment leden van de proefperiode toevoegen of verwijderen terwijl de proefperiode actief is.

                                                                                                                                                  Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker om sleutels en sleutels te maken vanuit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die is opgeslagen op uw KMS, zal de cloud-KMS deze namens de gebruiker ophalen.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep te beheren, HdsTrialGroup; u kunt de groepsleden weergeven in Control Hub, maar ze niet toevoegen of verwijderen.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Proefmodus van het gebied Servicestatus op Gebruikers toevoegen of klik op weergeven en bewerken om gebruikers uit de proefperiode te verwijderen.

                                                                                                                                                  4

                                                                                                                                                  Voer het e-mailadres in van een of meer gebruikers die u wilt toevoegen of klik op de X met een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan .

                                                                                                                                                  Overstappen van proefperiode naar productie

                                                                                                                                                  Als u er zeker van bent dat uw implementatie goed werkt voor de gebruikers van de proefperiode, kunt u overgaan naar productie. Wanneer u overgaat naar productie, gebruiken alle gebruikers in de organisatie uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. U kunt niet teruggaan naar de proefmodus vanuit de productie, tenzij u de service deactiveert als onderdeel van noodherstel. Als u de service opnieuw activeert, moet u een nieuwe proefperiode instellen.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Verplaatsen naar productie.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u al uw gebruikers naar de productie wilt verplaatsen.

                                                                                                                                                  Uw proefperiode beëindigen zonder over te stappen naar productie

                                                                                                                                                  Als u tijdens uw proefperiode besluit om niet door te gaan met uw implementatie van Hybride databeveiliging, kunt u Hybride databeveiliging deactiveren. Hiermee wordt de proefperiode beëindigd en worden de proefgebruikers weer verplaatst naar de cloudservices voor databeveiliging. De gebruikers van de proefperiode verliezen toegang tot de gegevens die tijdens de proefperiode zijn gecodeerd.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Deactiveren op Deactiveren.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u de service wilt deactiveren en beëindig de proefperiode.

                                                                                                                                                  Uw HDS-implementatie beheren

                                                                                                                                                  HDS-implementatie beheren

                                                                                                                                                  Gebruik de taken die hier worden beschreven om uw implementatie voor hybride databeveiliging te beheren.

                                                                                                                                                  Upgradeschema voor cluster instellen

                                                                                                                                                  Software-upgrades voor hybride databeveiliging worden automatisch uitgevoerd op clusterniveau, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens het upgradeschema voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie om de cluster handmatig te upgraden vóór de geplande upgradetijd. U kunt een specifiek upgradeschema instellen of het standaardschema van 3:00 AM Daily Verenigde Staten gebruiken: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

                                                                                                                                                  De upgradeplanning instellen:

                                                                                                                                                  1

                                                                                                                                                  Meld u aan Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Klik op de pagina Overzicht onder Hybride services op Hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Selecteer het cluster op de pagina Resources voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Selecteer in het deelvenster Overzicht aan de rechterkant onder Clusterinstellingen de clusternaam.

                                                                                                                                                  5

                                                                                                                                                  Selecteer op de pagina Instellingen onder Upgraden de tijd en tijdzone voor het upgradeschema.

                                                                                                                                                  Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen naar de volgende dag door op Uitstellen te klikken.

                                                                                                                                                  De knooppuntconfiguratie wijzigen

                                                                                                                                                  Soms moet u de configuratie van uw Hybrid Data Security-knooppunt wijzigen om een reden zoals:
                                                                                                                                                  • x.509-certificaten wijzigen vanwege verlopen of andere redenen.


                                                                                                                                                     

                                                                                                                                                    We ondersteunen het wijzigen van de CN- domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om het cluster te registreren.

                                                                                                                                                  • Database-instellingen bijwerken om te wijzigen in een replica van de PostgreSQL- of Microsoft SQL Server-database.


                                                                                                                                                     

                                                                                                                                                    We bieden geen ondersteuning voor het migreren van gegevens van PostgreSQL naar Microsoft SQL Server, of andersom. Als u de databaseomgeving wilt wijzigen, start u een nieuwe implementatie van Hybrid Data Security.

                                                                                                                                                  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

                                                                                                                                                  Om veiligheidsredenen gebruikt hybride databeveiliging serviceaccountwachtwoorden die elke 9 maanden worden gewijzigd. De HDS-setuptool genereert deze wachtwoorden en u implementeert ze in uw HDS-knooppunten als onderdeel van het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een 'kennisgeving van het verlopen van uw wachtwoord' van het Webex-team, waarin u wordt gevraagd het wachtwoord van uw machineaccount opnieuw in te stellen. (De e-mail bevat de tekst 'Gebruik de computeraccount- API om het wachtwoord bij te werken.') Als uw wachtwoorden nog niet zijn verlopen, biedt het hulpprogramma u twee opties:

                                                                                                                                                  • Zachte reset —De oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO -bestand op de knooppunten geleidelijk te vervangen.

                                                                                                                                                  • Harde reset —De oude wachtwoorden werken onmiddellijk niet meer.

                                                                                                                                                  Als uw wachtwoorden verlopen zonder een reset, heeft dit gevolgen voor uw HDS-service, waardoor een onmiddellijke harde reset en vervanging van het ISO -bestand op alle knooppunten nodig is.

                                                                                                                                                  Gebruik deze procedure om een nieuw ISO -configuratiebestand te genereren en dit toe te passen op uw cluster.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen bij het weergeven van de Docker-container in 1.e. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel die de PostgreSQL- of Microsoft SQL Server-database versleutelt. U hebt de ISO nodig wanneer u configuratiewijzigingen aanbrengt, inclusief databasereferenties, certificaatupdates of wijzigingen in het autorisatiebeleid.

                                                                                                                                                  1

                                                                                                                                                  Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

                                                                                                                                                  1. Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Met deze stap worden eerdere afbeeldingen van het HDS-configuratieprogramma opgeschoond. Als er geen eerdere afbeeldingen zijn, wordt een fout geretourneerd die u kunt negeren.

                                                                                                                                                  2. Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download de nieuwste stabiele installatiekopie voor uw omgeving:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 beschikken niet over de schermen voor het opnieuw instellen van wachtwoorden.

                                                                                                                                                  5. Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                    • In normale omgevingen zonder een proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'.

                                                                                                                                                  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  7. Wanneer u hierom wordt gevraagd, voert u uw -klantaanmeldgegevens in en klikt u vervolgens op Accepteren om door te gaan.

                                                                                                                                                  8. Importeer het huidige ISO-configuratiebestand.

                                                                                                                                                  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

                                                                                                                                                    Als u het installatieprogramma wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

                                                                                                                                                  2

                                                                                                                                                  Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor het -knooppunt en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

                                                                                                                                                  1. Installeer de HDS-host-OVA.

                                                                                                                                                  2. Stel de HDS-VM in.

                                                                                                                                                  3. Koppel het bijgewerkte configuratiebestand.

                                                                                                                                                  4. Registreer het nieuwe knooppunt in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Koppel het ISO -bestand voor bestaande HDS-knooppunten waarop het oudere configuratiebestand wordt uitgevoerd. Voer de volgende procedure uit op elk knooppunt en werk elk knooppunt bij voordat u het volgende knooppunt uitschakelt:

                                                                                                                                                  1. Schakel de virtuele machine uit.

                                                                                                                                                  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  3. Klikken CD/DVD Drive 1 Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

                                                                                                                                                  4. Schakel het selectievakje Verbinding maken na inschakelen in.

                                                                                                                                                  5. Sla uw wijzigingen op en schakel de virtuele machine in.

                                                                                                                                                  4

                                                                                                                                                  Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus uitschakelen

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. Als de DNS-server van het knooppunt geen openbare DNS-namen kan oplossen, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie.

                                                                                                                                                  Als uw knooppunten openbare DNS-namen kunnen oplossen via interne DNS-servers, kunt u deze modus uitschakelen door de proxyverbindingstest op elk knooppunt opnieuw uit te voeren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Zorg ervoor dat uw interne DNS-servers openbare DNS-namen kunnen oplossen en dat uw knooppunten met hen kunnen communiceren.
                                                                                                                                                  1

                                                                                                                                                  Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/instellingen, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Overzicht (de standaardpagina).

                                                                                                                                                  Indien ingeschakeld, Geblokkeerde externe DNS omzetting is ingesteld op Ja .

                                                                                                                                                  3

                                                                                                                                                  Ga naar de pagina Vertrouwensarchief & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken en blijft deze modus actief. Anders moet de geblokkeerde externe DNS-resolutie worden ingesteld op nee nadat u het knooppunt opnieuw hebt opgestart en teruggaat naar de pagina Overzicht.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Herhaal de proxyverbindingstest op elk knooppunt in uw cluster voor hybride databeveiliging.

                                                                                                                                                  Een knooppunt verwijderen

                                                                                                                                                  Gebruik deze procedure om een knooppunt voor hybride databeveiliging uit de Webex-cloud te verwijderen. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en de virtuele machine uit te schakelen.

                                                                                                                                                  2

                                                                                                                                                  Verwijder het knooppunt:

                                                                                                                                                  1. Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources voor hybride databeveiliging weer te geven.

                                                                                                                                                  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

                                                                                                                                                  4. Klik op Knooppuntenlijst openen.

                                                                                                                                                  5. Selecteer op het tabblad Knooppunten het knooppunt dat u wilt verwijderen.

                                                                                                                                                  6. Klik op Acties > Knooppunt uitschrijven.

                                                                                                                                                  3

                                                                                                                                                  Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

                                                                                                                                                  Als u de VM niet verwijdert, moet u het ISO-configuratiebestand loskoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken om toegang te krijgen tot uw beveiligingsgegevens.

                                                                                                                                                  Noodherstel met behulp van het stand-bydatacenter

                                                                                                                                                  De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt voor het coderen van berichten en andere inhoud die in de Webex-cloud is opgeslagen. Voor elke gebruiker binnen de organisatie die is toegewezen aan hybride databeveiliging, worden nieuwe aanvragen voor het maken van sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de sleutels die zijn gemaakt aan gebruikers die bevoegd zijn om ze op te halen, bijvoorbeeld leden van een gespreksruimte.

                                                                                                                                                  Omdat het cluster de kritieke functie van het leveren van deze sleutels vervult, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden behouden. Verlies van de database met hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van inhoud van de klant. De volgende praktijken zijn verplicht om een dergelijk verlies te voorkomen:

                                                                                                                                                  Als door een calamiteit de HDS-implementatie in het primaire datacenter niet meer beschikbaar is, volgt u deze procedure om handmatig te failover te gaan naar het stand-bydatacenter.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe of verwijder de passiveMode configuratie om het knooppunt actief te maken. Het knooppunt kan het verkeer afhandelen zodra dit is geconfigureerd.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de knooppunten van het stand-bydatacenter zich niet in de passieve modus bevinden. 'KMS geconfigureerd in de passieve modus' mag niet worden weergegeven in de syslogs.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als het primaire datacenter na failover weer actief wordt, plaatst u het stand-bydatacenter opnieuw in de passieve modus door de stappen te volgen die worden beschreven in Setup Standby Data Center for Disaster Recovery.

                                                                                                                                                  (Optioneel) ISO loskoppelen na HDS-configuratie

                                                                                                                                                  De standaard HDS-configuratie wordt uitgevoerd met de ISO gemonteerd. Maar sommige klanten geven er de voorkeur aan ISO-bestanden niet continu gemonteerd achter te laten. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

                                                                                                                                                  U gebruikt de ISO-bestanden nog steeds om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de installatietool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra al uw knooppunten de configuratiewijzigingen hebben overgenomen, kunt u de ISO opnieuw loskoppelen met deze procedure.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

                                                                                                                                                  1

                                                                                                                                                  Sluit een van uw HDS-knooppunten af.

                                                                                                                                                  2

                                                                                                                                                  Selecteer het HDS-knooppunt in het vCenter-serverapparaat.

                                                                                                                                                  3

                                                                                                                                                  Kies Instellingen bewerken > CD/DVD-station en ISO-gegevensopslagbestand uitschakelen.

                                                                                                                                                  4

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 20 minuten geen alarmen zijn.

                                                                                                                                                  5

                                                                                                                                                  Herhaal dit om de beurt voor elk HDS-knooppunt.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Waarschuwingen en problemen weergeven

                                                                                                                                                  Een implementatie voor hybride databeveiliging wordt als onbeschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als het cluster zo traag werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

                                                                                                                                                  • Nieuwe ruimten kunnen niet worden gemaakt (kan geen nieuwe sleutels maken)

                                                                                                                                                  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

                                                                                                                                                    • Nieuwe gebruikers toegevoegd aan een ruimte (kan geen toetsen ophalen)

                                                                                                                                                    • Bestaande gebruikers in een ruimte met een nieuwe client (kan geen sleutels ophalen)

                                                                                                                                                  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

                                                                                                                                                  Het is belangrijk dat u uw cluster voor hybride databeveiliging goed bewaakt en alle waarschuwingen onmiddellijk aanpakt om onderbrekingen van de service te voorkomen.

                                                                                                                                                  Waarschuwingen

                                                                                                                                                  Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen aan de organisatiebeheerder weer en worden e-mails naar het geconfigureerde e-mailadres verzonden. De waarschuwingen behandelen veel voorkomende scenario's.

                                                                                                                                                  Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

                                                                                                                                                  Alarm

                                                                                                                                                  Actie

                                                                                                                                                  Toegang tot lokale database mislukt.

                                                                                                                                                  Controleer op databasefouten of problemen met het lokale netwerk.

                                                                                                                                                  Lokale databaseverbinding mislukt.

                                                                                                                                                  Controleer of de databaseserver beschikbaar is en of de juiste serviceaccountgegevens zijn gebruikt in de knooppuntconfiguratie.

                                                                                                                                                  Toegang tot cloudservice mislukt.

                                                                                                                                                  Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Externe verbindingsvereisten.

                                                                                                                                                  Cloudserviceregistratie vernieuwen.

                                                                                                                                                  Registratie bij cloudservices is geschrapt. De registratie wordt vernieuwd.

                                                                                                                                                  Registratie van cloudservice is verbroken.

                                                                                                                                                  Registratie voor cloudservices is beëindigd. De service wordt afgesloten.

                                                                                                                                                  Service nog niet geactiveerd.

                                                                                                                                                  Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie.

                                                                                                                                                  Het geconfigureerde domein komt niet overeen met het servercertificaat.

                                                                                                                                                  Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

                                                                                                                                                  De meest waarschijnlijke oorzaak is dat de CN van het certificaat onlangs is gewijzigd en nu verschilt van de CN die tijdens de eerste installatie is gebruikt.

                                                                                                                                                  Kan niet verifiëren bij cloudservices.

                                                                                                                                                  Controleer of de gegevens van het serviceaccount correct zijn en mogelijk verlopen.

                                                                                                                                                  Kan lokaal keystore-bestand niet openen.

                                                                                                                                                  Controleer op integriteit en nauwkeurigheid van het wachtwoord in het lokale keystore-bestand.

                                                                                                                                                  Lokaal servercertificaat is ongeldig.

                                                                                                                                                  Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

                                                                                                                                                  Kan statistieken niet plaatsen.

                                                                                                                                                  Controleer de toegang van het lokale netwerk tot externe cloudservices.

                                                                                                                                                  /media/configdrive/hds directory bestaat niet.

                                                                                                                                                  Controleer de ISO-montageconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om opnieuw op te starten en of het met succes wordt geïnstalleerd.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met hybride databeveiliging.
                                                                                                                                                  1

                                                                                                                                                  Controleer Control Hub op waarschuwingen en los alle items op die u daar vindt.

                                                                                                                                                  2

                                                                                                                                                  Controleer de uitvoer van de syslog-server voor activiteit vanuit de implementatie voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Neem contact op met de ondersteuning van Cisco.

                                                                                                                                                  Andere opmerkingen

                                                                                                                                                  Bekende problemen voor hybride databeveiliging

                                                                                                                                                  • Als u uw cluster voor hybride databeveiliging afsluit (door het te verwijderen in Control Hub of door alle knooppunten af te sluiten), uw configuratie-ISO-bestand verliest of toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst met personen die zijn gemaakt met toetsen van uw KMS. Dit geldt zowel voor proefperioden als voor productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en dringen er bij u op aan om uw HDS-services niet af te sluiten zodra ze actieve gebruikersaccounts afhandelen.

                                                                                                                                                  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een periode (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefperiode voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken tot er een time-out optreedt. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact opneemt voor coderingssleutels.

                                                                                                                                                    Hetzelfde gedrag treedt op wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle niet-proefgebruikers met bestaande ECDH-verbindingen met de vorige gegevensbeveiligingsservices blijven deze services gebruiken totdat er opnieuw wordt onderhandeld over de ECDH-verbinding (via time-out of door afmelden en weer aanmelden).

                                                                                                                                                  OpenSSL gebruiken om een PKCS12-bestand te genereren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS Setup Tool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten niet op de een of andere manier.

                                                                                                                                                  • Als u ervoor kiest om OpenSSL te gebruiken, bieden we deze procedure aan als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

                                                                                                                                                  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

                                                                                                                                                  • Maak een privésleutel aan.

                                                                                                                                                  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificeringsinstantie (CA).

                                                                                                                                                  1

                                                                                                                                                  Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Geef het certificaat weer als tekst en controleer de details.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Gebruik een teksteditor om een certificaatbundelbestand met de naam hdsnode-bundle.pem. Het bundelbestand moet het servercertificaat, eventuele tussentijdse CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Maak het .p12-bestand met de vriendelijke naam kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controleer de gegevens van het servercertificaat.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Voer een wachtwoord in om de privésleutel te coderen, zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de lijnen bevatten friendlyName: kms-private-key.

                                                                                                                                                    Voorbeeld:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Ga terug naar Vereisten voor hybride databeveiliging voltooien. U gebruikt de hdsnode.p12 bestand en het wachtwoord dat u ervoor hebt ingesteld, in Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

                                                                                                                                                  Verkeer tussen de HDS-knooppunten en de cloud

                                                                                                                                                  Verkeer voor verzameling uitgaande statistieken

                                                                                                                                                  De knooppunten voor hybride databeveiliging sturen bepaalde statistieken naar de Webex-cloud. Dit zijn onder andere systeemstatistieken voor de maximale heap, gebruikte heap, CPU-belasting en draadtelling; statistieken over synchrone en asynchrone threads; statistieken over waarschuwingen met een drempelwaarde voor coderingsverbindingen, latentie of de lengte van een aanvraagwachtrij; statistieken over de gegevensopslag; en coderingsverbindingsstatistieken. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (gescheiden van het verzoekkanaal).

                                                                                                                                                  Inkomend verkeer

                                                                                                                                                  De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer vanuit de Webex-cloud:

                                                                                                                                                  • Coderingsverzoeken van clients die door de coderingsservice worden gerouteerd

                                                                                                                                                  • Upgrades naar de knooppuntsoftware

                                                                                                                                                  Squid-proxy's configureren voor hybride databeveiliging

                                                                                                                                                  Websocket kan geen verbinding maken via de Squid Proxy

                                                                                                                                                  Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de instelling van websocket ( wss:) verbindingen die Hybride databeveiliging vereist. Deze secties bieden richtlijnen voor het configureren van verschillende versies van Squid om te negeren wss: verkeer voor de goede werking van de diensten.

                                                                                                                                                  Inktvis 4 en 5

                                                                                                                                                  Voeg de on_unsupported_protocol richtlijn tot squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Pijlinktvis 3.5.27

                                                                                                                                                  We hebben hybride databeveiliging met succes getest met de volgende regels toegevoegd aan squid.conf. Deze regels kunnen worden gewijzigd bij het ontwikkelen van functies en het bijwerken van de Webex-cloud.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Voorwoord

                                                                                                                                                  Nieuwe en gewijzigde informatie

                                                                                                                                                  Datum

                                                                                                                                                  Aangebrachte wijzigingen

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augustus 2023

                                                                                                                                                  23 mei 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker Desktop.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  U kunt het bestand met de privésleutel en de CSR opnieuw gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie.

                                                                                                                                                  30 april 2021

                                                                                                                                                  De VM-vereiste voor lokale harde schijfruimte is gewijzigd in 30 GB. Zie Vereisten voor virtuele host voor meer informatie.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  De HDS-installatietool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO maken voor de HDS-hosts voor meer informatie.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu worden uitgevoerd zonder een gemonteerd ISO-bestand. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Informatie toegevoegd over het hulpprogramma HDS-instellingen en proxy's om een configuratie-ISO voor de HDS-hosts te maken.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Bijgewerkte Installatiebestanden downloaden.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt.

                                                                                                                                                  14 augustus 2020

                                                                                                                                                  De configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces.

                                                                                                                                                  5 augustus 2020

                                                                                                                                                  Bijgewerkte Test uw implementatie voor hybride databeveiliging voor wijzigingen in logboekberichten.

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om het maximale aantal hosts te verwijderen.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Bijgewerkt Een knooppunt verwijderen voor wijzigingen in de gebruikersinterface van Control Hub.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  De ISO voor configuratie maken voor de HDS-hosts is bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk hebt ingesteld.

                                                                                                                                                  29 mei 2020

                                                                                                                                                  Bijgewerkt: maak een configuratie-ISO voor de HDS-hosts om aan te geven dat u ook TLS kunt gebruiken met SQL Server-databases, gebruikersgebruikerswijzigingen en andere verduidelijkingen.

                                                                                                                                                  5 mei 2020

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om de nieuwe vereisten voor ESXi 6.5 weer te geven.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met nieuwe Americas CI-hosts.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met informatie over regionale CI-hosts.

                                                                                                                                                  20 februari 2020Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met informatie over het nieuwe optionele scherm Geavanceerde instellingen in de HDS-installatietool.
                                                                                                                                                  4 februari 2020Proxyserververeisten bijgewerkt.
                                                                                                                                                  16 december 2019De vereiste voor geblokkeerde externe DNS-resolutiemodus is verduidelijkt om te werken in de vereisten voor de proxyserver.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende gedeelten:

                                                                                                                                                  8 november 2019

                                                                                                                                                  U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van erna.

                                                                                                                                                  De volgende gedeelten zijn dienovereenkomstig bijgewerkt:


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Standaard SQL-server toegevoegd aan vereisten voor databaseserver.

                                                                                                                                                  29 augustus 2019Bijlage Squid-proxy's configureren voor hybride databeveiliging toegevoegd met richtlijnen voor het configureren van squid-proxy's om websocketverkeer te negeren voor een goede werking.
                                                                                                                                                  20 augustus 2019

                                                                                                                                                  Er zijn gedeelten toegevoegd en bijgewerkt voor proxyondersteuning voor communicatie van knooppunten voor hybride databeveiliging naar de Webex-cloud.

                                                                                                                                                  Zie het Help-artikel Proxy-ondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie.

                                                                                                                                                  13 juni 2019Bijgewerkte Trial to Production Task Flow met een herinnering om de HdsTrialGroup groepsobject voordat een proefperiode wordt gestart als uw organisatie adreslijstsynchronisatie gebruikt.
                                                                                                                                                  6 maart 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • De hoeveelheid lokale harde schijfruimte per server die u opzij moet zetten bij het voorbereiden van de virtuele hosts die de knooppunten voor hybride databeveiliging worden, van 50 GB tot 20 GB, is gecorrigeerd om de grootte van de schijf weer te geven die door de OVA wordt gemaakt.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Knooppunten voor hybride databeveiliging ondersteunen nu gecodeerde verbindingen met PostgreSQL-databaseservers en gecodeerde logboekverbindingen met een TLS-compatibele syslog-server. Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met instructies.

                                                                                                                                                  • De bestemmings-URL's zijn verwijderd uit de tabel 'Vereisten voor internetconnectiviteit voor hybride gegevensbeveiligingsknooppunt VM's'. De tabel verwijst nu naar de lijst die wordt bijgehouden in de tabel 'Aanvullende URL's voor hybride services van Webex Teams' van Netwerkvereisten voor Webex Teams-services.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybride databeveiliging ondersteunt nu Microsoft SQL Server als database. SQL Server Always On (Always On Failover Clusters en Always on Availability Groups) wordt ondersteund door de JDBC-stuurprogramma's die worden gebruikt in hybride databeveiliging. Er is inhoud toegevoegd met betrekking tot implementatie met SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ondersteuning voor Microsoft SQL Server is alleen bedoeld voor nieuwe implementaties van Hybride databeveiliging. We ondersteunen momenteel geen migratie van gegevens van PostgreSQL naar Microsoft SQL Server in een bestaande implementatie.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 mei 2018

                                                                                                                                                  Gewijzigde terminologie om de rebranding van Cisco Spark weer te geven:

                                                                                                                                                  • Cisco Spark hybride databeveiliging is nu hybride databeveiliging.

                                                                                                                                                  • De Cisco Spark-app is nu de Webex-app.

                                                                                                                                                  • De Cisco Collaboraton Cloud is nu de Webex-cloud.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • In de tabel X.509-certificaatvereisten is gespecificeerd dat het certificaat geen jokercertificaat kan zijn en dat de KMS het CN-domein gebruikt, niet een domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Adreslijstsynchronisatie van de HdsTrialGroup is verduidelijkt.

                                                                                                                                                  • Vaste instructies voor het uploaden van het ISO-configuratiebestand voor montage op de VM-knooppunten.

                                                                                                                                                  18 augustus 2017

                                                                                                                                                  Voor het eerst gepubliceerd

                                                                                                                                                  Aan de slag met hybride databeveiliging

                                                                                                                                                  Overzicht van hybride databeveiliging

                                                                                                                                                  Vanaf dag één is gegevensbeveiliging de belangrijkste focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end inhoudsversleuteling, mogelijk gemaakt door Webex -app-clients die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografische sleutels die clients gebruiken om berichten en bestanden dynamisch te versleutelen en ontsleutelen.

                                                                                                                                                  Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride gegevensbeveiliging verplaatst het KMS en andere beveiligingsgerelateerde functies naar het bedrijfsgegevens , zodat niemand anders dan u de sleutels heeft tot uw versleutelde inhoud.

                                                                                                                                                  Architectuur beveiligingsgebied

                                                                                                                                                  De Webex-cloudarchitectuur scheidt verschillende soorten service in afzonderlijke realms of vertrouwensdomeinen, zoals hieronder wordt weergegeven.

                                                                                                                                                  Scheidingsgebieden (zonder hybride databeveiliging)

                                                                                                                                                  Laten we eerst eens kijken naar deze zuivere cloudcase, waarin Cisco alle functies in zijn clouddomeinen aanbiedt om meer inzicht te krijgen in hybride databeveiliging. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks kunnen worden gecorreleerd met hun persoonlijke informatie zoals e-mailadres, is logisch en fysiek gescheiden van de beveiligingsrealm in datacenter B. Beide zijn op hun beurt gescheiden van de realm waar versleutelde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

                                                                                                                                                  In dit diagram is de client de Webex-app die wordt uitgevoerd op de laptop van een gebruiker en is deze geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

                                                                                                                                                  1. De client maakt een veilige verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel om het bericht te versleutelen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

                                                                                                                                                  2. Het bericht wordt gecodeerd voordat het de client verlaat. De klant stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

                                                                                                                                                  3. Het gecodeerde bericht wordt verzonden naar de nalevingsservice voor nalevingscontroles.

                                                                                                                                                  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

                                                                                                                                                  Wanneer u hybride databeveiliging implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de realms van Cisco.

                                                                                                                                                  Samenwerken met andere organisaties

                                                                                                                                                  Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, routeert uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS te krijgen en stuurt de sleutel vervolgens terug naar uw gebruiker op het oorspronkelijke kanaal.

                                                                                                                                                  De KMS-service die wordt uitgevoerd in organisatie A valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw implementatie voor hybride databeveiliging.

                                                                                                                                                  Verwachtingen voor het implementeren van hybride databeveiliging

                                                                                                                                                  Een implementatie van hybride databeveiliging vereist een aanzienlijke klantbetrokkenheid en een bewustzijn van de risico's van het bezit van coderingssleutels.

                                                                                                                                                  Als u hybride databeveiliging wilt implementeren, moet u het volgende opgeven:

                                                                                                                                                  Volledig verlies van de configuratie-ISO die u maakt voor hybride databeveiliging of de database die u levert, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers inhoud van de ruimte en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar alleen nieuwe inhoud is zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

                                                                                                                                                  • De back-up en het herstel van de database en de configuratie-ISO beheren.

                                                                                                                                                  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing in de databaseschijf of een ramp met het datacenter.


                                                                                                                                                   

                                                                                                                                                  Er is geen mechanisme om sleutels na een HDS-implementatie terug naar de cloud te verplaatsen.

                                                                                                                                                  Installatieproces op hoog niveau

                                                                                                                                                  Dit document behandelt het instellen en beheren van een implementatie voor hybride databeveiliging:

                                                                                                                                                  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset gebruikers in de proefmodus en, zodra uw tests zijn voltooid, het verplaatsen naar productie. Hiermee wordt de hele organisatie geconverteerd om uw cluster voor hybride databeveiliging te gebruiken voor beveiligingsfuncties.

                                                                                                                                                    De installatie-, proef- en productiefasen worden in de volgende drie hoofdstukken in detail besproken.

                                                                                                                                                  • Uw implementatie voor hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch voortdurende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig ondersteuning van Cisco inschakelen. U kunt meldingen op het scherm gebruiken en op e-mail gebaseerde waarschuwingen instellen in Control Hub.

                                                                                                                                                  • Algemene waarschuwingen, stappen voor probleemoplossing en bekende problemen begrijpen: als u problemen ondervindt bij het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  In uw bedrijfsdatacenter implementeert u hybride databeveiliging als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

                                                                                                                                                  Tijdens het installatieproces bieden we u het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt monteert. Het cluster Hybride databeveiliging gebruikt de door u geleverde Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de details van de Syslogd- en databaseverbinding in de HDS-installatietool.)

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  Het minimumaantal knooppunten dat u in een cluster kunt hebben is twee. We raden ten minste drie aan en u kunt er maximaal vijf hebben. Als u meerdere knooppunten hebt, wordt de service niet onderbroken tijdens een software-upgrade of andere onderhoudsactiviteit op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

                                                                                                                                                  Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en logboekactiviteit op dezelfde syslog-server. De knooppunten zelf zijn stateloos, en behandelen belangrijke verzoeken in round-robin mode, zoals geregisseerd door de cloud.

                                                                                                                                                  Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt buiten gebruik wilt stellen, kunt u de registratie ongedaan maken en later opnieuw registreren, indien nodig.

                                                                                                                                                  We ondersteunen slechts één cluster per organisatie.

                                                                                                                                                  Proefmodus voor hybride databeveiliging

                                                                                                                                                  Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u dit eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.

                                                                                                                                                  Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de pilootgebruikers en alle gebruikers met wie ze tijdens de proefperiode interactie hebben gehad door nieuwe ruimten te maken, de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.

                                                                                                                                                  Als u ervan overtuigd bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilootgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, bijvoorbeeld om noodherstel uit te voeren, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilootgebruikers voor de nieuwe proefperiode instellen voordat u teruggaat naar de productiemodus. Of gebruikers op dit moment toegang tot gegevens behouden, hangt af van het feit of u back-ups van de sleutelgegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster hebt onderhouden.

                                                                                                                                                  Standby-datacenter voor noodherstel

                                                                                                                                                  Tijdens de implementatie stelt u een beveiligd stand-bydatacenter in. In het geval van een ramp met een datacenter kunt u uw implementatie handmatig overzetten naar het stand-bydatacenter.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Handmatige failover naar stand-bydatacenter

                                                                                                                                                  De databases van de actieve en stand-by datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is om de failover uit te voeren, tot een minimum wordt beperkt. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten zijn geregistreerd bij de organisatie, maar geen verkeer afhandelen. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van de HDS-software.


                                                                                                                                                   

                                                                                                                                                  De actieve knooppunten voor hybride databeveiliging moeten altijd in hetzelfde datacenter zijn als de actieve databaseserver.

                                                                                                                                                  Standby-datacenter instellen voor noodherstel

                                                                                                                                                  Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Het stand-bydatacenter moet de productieomgeving van VM's en een back-up PostgreSQL- of Microsoft SQL Server-database weerspiegelen. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. (Zie Standby Data Center for Disaster Recovery voor een overzicht van dit failovermodel.)

                                                                                                                                                  • Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database met actieve en passieve clusterknooppunten.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.


                                                                                                                                                   

                                                                                                                                                  Het ISO-bestand moet een kopie zijn van het originele ISO-bestand van het primaire datacenter waarop de volgende configuratieupdates moeten worden uitgevoerd.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar wordt er geen verkeer afgehandeld.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslogs om te controleren of de knooppunten zich in de passieve modus bevinden. U moet het bericht 'KMS geconfigureerd in passieve modus' in de syslogs kunnen bekijken.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Na het configureren passiveMode in het ISO-bestand en opslaan, kunt u een andere kopie van het ISO-bestand maken zonder de passiveMode configureren en opslaan op een veilige locatie. Deze kopie van het ISO-bestand zonder passiveMode geconfigureerd kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met behulp van het stand-bydatacenter voor de gedetailleerde failoverprocedure.

                                                                                                                                                  Proxyondersteuning

                                                                                                                                                  Hybride databeveiliging ondersteunt expliciete, transparante en niet-inspecterende proxy's. U kunt deze proxy's aan uw implementatie koppelen zodat u het verkeer van de onderneming naar de cloud kunt beveiligen en bewaken. U kunt een platformbeheerinterface op de knooppunten gebruiken voor certificaatbeheer en om de algehele verbindingsstatus te controleren nadat u de proxy op de knooppunten hebt ingesteld.

                                                                                                                                                  De knooppunten voor hybride databeveiliging ondersteunen de volgende proxyopties:

                                                                                                                                                  • Geen proxy: de standaardinstelling als u de HDS-knooppuntconfiguratie Vertrouwensarchief en proxy niet gebruikt om een proxy te integreren. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante niet-inspecterende proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante tunneling of inspectie van proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP- of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).

                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welk proxyserver- en verificatieschema u moet gebruiken. Als u een expliciete proxy wilt configureren, moet u de volgende informatie op elk knooppunt invoeren:

                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

                                                                                                                                                      • HTTP: geeft alle verzoeken weer die de client verzendt en beheert deze.

                                                                                                                                                      • HTTPS: biedt een kanaal naar de server. De client ontvangt het servercertificaat en valideert het.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar als u HTTPS selecteert als proxyprotocol.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                  Voorbeeld van knooppunten voor hybride databeveiliging en proxy

                                                                                                                                                  In dit diagram ziet u een voorbeeldverbinding tussen hybride databeveiliging, netwerk en een proxy. Voor de opties voor transparante inspectie en HTTPS expliciete inspectie proxy moet hetzelfde hoofdcertificaat worden geïnstalleerd op de proxy en op de knooppunten voor hybride databeveiliging.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus (expliciete proxyconfiguraties)

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. In implementaties met expliciete proxyconfiguraties die geen externe DNS-resolutie voor interne clients toestaan, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie als het knooppunt de DNS-servers niet kan opvragen. In deze modus kunnen knooppuntregistratie en andere proxyverbindingstests worden voortgezet.

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  Vereisten voor hybride databeveiliging

                                                                                                                                                  Vereisten voor Cisco Webex-licenties

                                                                                                                                                  Hybride databeveiliging implementeren:

                                                                                                                                                  Vereisten voor Docker Desktop

                                                                                                                                                  Voordat u uw HDS-knooppunten installeert, hebt u Docker Desktop nodig om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie heeft mogelijk een betaald abonnement voor Docker Desktop nodig. Voor meer informatie raadpleegt u het Docker-blogbericht ' Docker werkt onze productabonnementen bij en verlengt deze ".

                                                                                                                                                  Vereisten voor X.509-certificaten

                                                                                                                                                  De certificaatketen moet aan de volgende vereisten voldoen:

                                                                                                                                                  Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

                                                                                                                                                  Vereiste

                                                                                                                                                  Details

                                                                                                                                                  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

                                                                                                                                                  Standaard vertrouwen we de CA’s in de Mozilla lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Bevat een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

                                                                                                                                                  • Is geen jokercertificaat

                                                                                                                                                  De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die uw organisatie weergeeft, bijvoorbeeld: hds.company.com.

                                                                                                                                                  De algemene naam mag geen * (jokerteken) bevatten.

                                                                                                                                                  De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren bij clients van de Webex-app. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  Zodra u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat kan worden toegepast op zowel de proefperiode- als productie-implementaties.

                                                                                                                                                  • Niet-SHA1 handtekening

                                                                                                                                                  De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

                                                                                                                                                  • Geformatteerd als een met een wachtwoord beveiligd PKCS #12-bestand

                                                                                                                                                  • Gebruik de vriendelijke naam van kms-private-key om het certificaat, de privésleutel en eventuele tussenliggende certificaten te taggen die moeten worden geüpload.

                                                                                                                                                  U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

                                                                                                                                                  U moet het wachtwoord invoeren wanneer u de HDS-installatietool uitvoert.

                                                                                                                                                  De KMS-software dwingt sleutelgebruik of uitgebreide beperkingen voor sleutelgebruik niet af. Sommige certificeringsinstanties vereisen dat uitgebreide belangrijke gebruiksbeperkingen worden toegepast op elk certificaat, zoals serververificatie. U mag de serververificatie of andere instellingen gebruiken.

                                                                                                                                                  Vereisten voor virtuele host

                                                                                                                                                  De virtuele hosts die u instelt als knooppunten voor hybride databeveiliging in uw cluster, hebben de volgende vereisten:

                                                                                                                                                  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich in hetzelfde beveiligde datacenter bevinden

                                                                                                                                                  • VMware ESXi 6.5 (of hoger) geïnstalleerd en actief.


                                                                                                                                                     

                                                                                                                                                    U moet upgraden als u een eerdere versie van ESXi hebt.

                                                                                                                                                  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

                                                                                                                                                  Vereisten voor databaseserver


                                                                                                                                                   

                                                                                                                                                  Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. Wanneer de HDS-toepassingen zijn geïnstalleerd, maakt u het databaseschema.

                                                                                                                                                  Er zijn twee opties voor databaseserver. De vereisten voor elk zijn als volgt:

                                                                                                                                                  Tabel 2. Vereisten databaseserver per type database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

                                                                                                                                                  • SQL Server 2016, 2017 of 2019 (Enterprise of Standard) geïnstalleerd.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL JDBC-stuurprogramma van SQL Server 4.6

                                                                                                                                                  Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover Cluster Instances en Always On availability groups).

                                                                                                                                                  Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

                                                                                                                                                  Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

                                                                                                                                                  • De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

                                                                                                                                                  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees-/schrijftoegang hebben tot de database.

                                                                                                                                                  • De DNS-servers die u aan HDS-knooppunten levert, moeten uw Key Distribution Center (KDC) kunnen oplossen.

                                                                                                                                                  • U kunt de HDS-database-instantie op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een servicenaam registreren voor Kerberos-verbindingen.

                                                                                                                                                    De HDS-installatietool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens van uw ISO-configuratie om de SPN te construeren wanneer ze toegang aanvragen met Kerberos-verificatie.

                                                                                                                                                  Externe connectiviteitsvereisten

                                                                                                                                                  Configureer uw firewall om de volgende verbinding voor de HDS-toepassingen toe te staan:

                                                                                                                                                  App

                                                                                                                                                  Protocol

                                                                                                                                                  Poort

                                                                                                                                                  Richting van app

                                                                                                                                                  Bestemming

                                                                                                                                                  Knooppunten voor hybride databeveiliging

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS en WSS

                                                                                                                                                  • Webex-servers:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • Andere URL's die worden vermeld voor beveiliging van hybride gegevens in de tabel Aanvullende URL's voor hybride Webex-services met netwerkvereisten voor Webex-services

                                                                                                                                                  Hulpprogramma voor HDS-instellingen

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die inkomend zijn naar de knooppunten voor hybride databeveiliging, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients voor beheerdoeleinden toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22.

                                                                                                                                                  De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:

                                                                                                                                                  Regio

                                                                                                                                                  Host-URL's van Common Identity

                                                                                                                                                  Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europese Unie

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Vereisten voor proxyserver

                                                                                                                                                  • We ondersteunen officieel de volgende proxyoplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride databeveiliging.

                                                                                                                                                    • Transparante proxy: Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Expliciete proxy: Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de oprichting van websocket verstoren (wss:) verbindingen. Zie Squid-proxy's configureren voor hybride databeveiliging voor meer informatie over dit probleem.

                                                                                                                                                  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

                                                                                                                                                    • Geen verificatie met HTTP of HTTPS

                                                                                                                                                    • Basisverificatie met HTTP of HTTPS

                                                                                                                                                    • Digestverificatie met alleen HTTPS

                                                                                                                                                  • Voor een transparante inspecterende proxy of een expliciete HTTPS-proxy moet u een kopie hebben van het hoofdcertificaat van de proxy. De implementatie-instructies in deze handleiding vertellen u hoe u de kopie kunt uploaden naar de vertrouwensarchieven van de knooppunten voor hybride databeveiliging.

                                                                                                                                                  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 te dwingen via de proxy te routeren.

                                                                                                                                                  • Proxy's die webverkeer inspecteren, kunnen de verbindingen met de websocket verstoren. Indien dit probleem zich voordoet, verkeer overslaan (niet inspecteren) naar wbx2.com en ciscospark.com zal het probleem oplossen.

                                                                                                                                                  Voldoen aan de vereisten voor hybride databeveiliging

                                                                                                                                                  Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
                                                                                                                                                  1

                                                                                                                                                  Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en ontvang de referenties van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

                                                                                                                                                  2

                                                                                                                                                  Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  3

                                                                                                                                                  Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt ten minste twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter zijn geplaatst en voldoen aan de vereisten in Vereisten voor virtuele host.

                                                                                                                                                  4

                                                                                                                                                  Bereid de databaseserver voor die zal fungeren als de belangrijkste gegevensopslag voor het cluster, overeenkomstig de vereisten voor de databaseserver. De databaseserver moet samen met de virtuele hosts in het beveiligde datacenter worden geplaatst.

                                                                                                                                                  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik de standaarddatabase niet. De HDS-toepassingen maken het databaseschema wanneer ze zijn geïnstalleerd.)

                                                                                                                                                  2. Verzamel de gegevens die de knooppunten gebruiken om met de databaseserver te communiceren:

                                                                                                                                                    • de hostnaam of het IP-adres (host) en de poort

                                                                                                                                                    • de naam van de database (dbname) voor key storage

                                                                                                                                                    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de database met sleutelopslag

                                                                                                                                                  5

                                                                                                                                                  Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben.

                                                                                                                                                  6

                                                                                                                                                  Stel een Syslog-host in om logboeken te verzamelen van de knooppunten in het cluster. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Maak een veilig back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.


                                                                                                                                                   

                                                                                                                                                  Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die worden gebruikt voor codering en decodering van inhoud, leidt het niet onderhouden van een operationele implementatie tot het ONHERSTELBARE VERLIES van die inhoud.

                                                                                                                                                  Clients van de Webex-app brengen hun sleutels in de cache, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen niet te voorkomen zijn, kunnen ze worden hersteld. Volledig verlies (geen back-ups beschikbaar) van de database of het ISO-configuratiebestand leidt echter tot niet-herstelbare klantgegevens. Van de beheerders van de knooppunten voor hybride databeveiliging wordt verwacht dat ze regelmatig back-ups van de database en het configuratie-ISO-bestand onderhouden, en dat ze bereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als er een catastrofale storing optreedt.

                                                                                                                                                  8

                                                                                                                                                  Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw hybride databeveiligingsknooppunten mogelijk maakt, zoals beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  9

                                                                                                                                                  Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft tot het besturingssysteem op http://127.0.0.1:8080.

                                                                                                                                                  U gebruikt het Docker-exemplaar om de HDS-installatietool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratie-informatie op voor alle knooppunten voor hybride databeveiliging. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker Desktop voor meer informatie.

                                                                                                                                                  Om de HDS-setuptool te installeren en uit te voeren, moet de lokale machine de connectiviteit hebben die wordt beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  10

                                                                                                                                                  Als u een proxy integreert met hybride databeveiliging, moet u ervoor zorgen dat deze voldoet aan de vereisten voor de proxyserver.

                                                                                                                                                  11

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, maakt u een groep in Active Directory met de naam HdsTrialGroup en pilootgebruikers toevoegen. De proefgroep kan maximaal 250 gebruikers hebben. Het HdsTrialGroup object moet worden gesynchroniseerd met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Als u een groepsobject wilt synchroniseren, selecteert u het in de van de directoryconnector Configuratie > menu Objectselectie. (Zie de Implementatiehandleiding voor Cisco Directoryconnector voor gedetailleerde instructies.)


                                                                                                                                                   

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Houd er bij het selecteren van pilootgebruikers rekening mee dat als u besluit de implementatie voor hybride databeveiliging permanent te deactiveren, alle gebruikers geen toegang meer hebben tot inhoud in de ruimten die door de pilootgebruikers zijn gemaakt. Het verlies wordt duidelijk zodra de apps van gebruikers hun in de cache opgeslagen kopieën van de inhoud vernieuwen.

                                                                                                                                                  Een cluster voor hybride databeveiliging instellen

                                                                                                                                                  Taakstroom implementatie hybride databeveiliging

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  1

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  Download het OVA-bestand naar uw lokale computer voor later gebruik.

                                                                                                                                                  2

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Gebruik de HDS-installatietool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Maak een virtuele machine vanuit het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  4

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd ten tijde van de OVA-implementatie.

                                                                                                                                                  5

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  6

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u indien nodig het proxycertificaat toe aan het vertrouwensarchief.

                                                                                                                                                  7

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Registreer de VM bij de Cisco Webex-cloud als een knooppunt voor hybride databeveiliging.

                                                                                                                                                  8

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Voltooi de clusterinstelling.

                                                                                                                                                  9

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)

                                                                                                                                                  Totdat u een proefperiode start, genereren uw knooppunten een alarm dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). Je gebruikt dit bestand later in het installatieproces.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en klik vervolgens op Services.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik vervolgens op Instellen.

                                                                                                                                                  Als de kaart is uitgeschakeld of u deze niet ziet, neemt u contact op met uw accountteam of uw partnerorganisatie. Geef uw accountnummer en vraag of u uw organisatie wilt inschakelen voor hybride databeveiliging. Als u het accountnummer wilt vinden, klikt u op het tandwiel rechtsboven naast de naam van uw organisatie.


                                                                                                                                                   

                                                                                                                                                  U kunt de OVA ook op elk gewenst moment downloaden via het gedeelte Help op de pagina Instellingen. Klik op de kaart Hybride databeveiliging op Instellingen bewerken om de pagina te openen. Klik vervolgens op Hybride databeveiligingssoftware downloaden in het gedeelte Help.


                                                                                                                                                   

                                                                                                                                                  Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de nieuwste versie van het OVA-bestand downloadt.

                                                                                                                                                  3

                                                                                                                                                  Selecteer Nee om aan te geven dat u het knooppunt nog niet hebt ingesteld en klik vervolgens op Volgende.

                                                                                                                                                  Het OVA-bestand begint automatisch te downloaden. Sla het bestand op een locatie op uw computer op.
                                                                                                                                                  4

                                                                                                                                                  U kunt ook op Implementatiehandleiding openen klikken om te controleren of er een latere versie van deze handleiding beschikbaar is.

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Het installatieproces voor hybride databeveiliging maakt een ISO-bestand. Vervolgens gebruikt u de ISO om uw host voor hybride databeveiliging te configureren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5 opent. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de nieuwste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals:

                                                                                                                                                    • Aanmeldgegevens database

                                                                                                                                                    • Certificaatupdates

                                                                                                                                                    • Wijzigingen in het autorisatiebeleid

                                                                                                                                                  • Als u databaseverbindingen wilt versleutelen, stelt u uw PostgreSQL- of SQL Server-implementatie voor TLS in.

                                                                                                                                                  1

                                                                                                                                                  Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Met deze stap worden eerdere afbeeldingen van het HDS-configuratieprogramma opgeschoond. Als er geen eerdere afbeeldingen zijn, wordt een fout geretourneerd die u kunt negeren.

                                                                                                                                                  2

                                                                                                                                                  Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download de nieuwste stabiele installatiekopie voor uw omgeving:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                  • In normale omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  Gebruik een webbrowser om naar de localhost te gaan http://127.0.0.1:8080 en voer de gebruikersnaam van de klantbeheerder voor Control Hub in de prompt in.

                                                                                                                                                  De tool gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Het hulpprogramma geeft vervolgens de standaard aanmeldingsprompt weer.

                                                                                                                                                  7

                                                                                                                                                  Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de Control Hub-klantbeheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

                                                                                                                                                  8

                                                                                                                                                  Klik op de overzichtspagina van de installatietool op Aan de slag.

                                                                                                                                                  9

                                                                                                                                                  Op de pagina ISO Import hebt u de volgende opties:

                                                                                                                                                  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
                                                                                                                                                  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de browse en uploadt u het.
                                                                                                                                                  10

                                                                                                                                                  Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  • Als u nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat OK is, klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat is verlopen of als u het wilt vervangen, selecteert u Nee voor Doorgaan met gebruik van HDS-certificaatketen en privésleutel uit vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
                                                                                                                                                  11

                                                                                                                                                  Voer het databaseadres en het account voor HDS in om toegang te krijgen tot uw belangrijke gegevensopslag:

                                                                                                                                                  1. Selecteer uw Database Type (PostgreSQL of Microsoft SQL Server).

                                                                                                                                                    Als u Microsoft SQL Server kiest, krijgt u een veld Verificatietype.

                                                                                                                                                  2. (Alleen Microsoft SQL Server) Selecteer uw verificatietype:

                                                                                                                                                    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam.

                                                                                                                                                    • Windows-verificatie: U hebt een Windows-account in de indeling nodig username@DOMAIN in het veld Gebruikersnaam.

                                                                                                                                                  3. Voer het adres van de databaseserver in het formulier in <hostname>:<port> of <IP-address>:<port>.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    dbhost.example.org:1433 of 198.51.100.17:1433

                                                                                                                                                    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

                                                                                                                                                    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

                                                                                                                                                  4. Voer de databasenaam in.

                                                                                                                                                  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten in de database voor sleutelopslag.

                                                                                                                                                  12

                                                                                                                                                  Selecteer een TLS-databaseverbindingsmodus:

                                                                                                                                                  Mode

                                                                                                                                                  Beschrijving

                                                                                                                                                  Voorkeur voor TLS (standaardoptie)

                                                                                                                                                  Voor HDS-knooppunten is geen TLS vereist om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

                                                                                                                                                  TLS vereisen

                                                                                                                                                  HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  TLS vereisen en certificaatondertekenaar verifiëren


                                                                                                                                                   

                                                                                                                                                  Deze modus is niet van toepassing op SQL Server-databases.

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik de hoofdcertificaat van database control onder de vervolgkeuzelijst om het hoofdcertificaat voor deze optie te uploaden.

                                                                                                                                                  TLS vereisen en certificaatondertekenaar en hostnaam verifiëren

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databasehost en -poort. De namen moeten exact overeenkomen, anders verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik de hoofdcertificaat van database control onder de vervolgkeuzelijst om het hoofdcertificaat voor deze optie te uploaden.

                                                                                                                                                  Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-installatietool de TLS-verbinding met de databaseserver. Het hulpprogramma verifieert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, geeft het hulpprogramma een foutmelding waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en wilt doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de HDS-installatietool niet met succes kan worden getest.)

                                                                                                                                                  13

                                                                                                                                                  Configureer uw Syslogd-server op de pagina Systeemlogboeken:

                                                                                                                                                  1. Voer de URL van de syslog-server in.

                                                                                                                                                    Als de server niet DNS-oplosbaar is vanuit de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij Syslogd-host 10.92.43.23 op UDP-poort 514.
                                                                                                                                                  2. Als u uw server instelt om TLS-codering te gebruiken, controleert u Is uw syslog-server geconfigureerd voor SSL-codering?.

                                                                                                                                                    Als u dit selectievakje inschakelt, moet u een TCP-URL invoeren, zoals tcp://10.92.43.23:514.

                                                                                                                                                  3. Kies in de vervolgkeuzelijst Beëindiging syslog-record kiezen de juiste instelling voor uw ISO-bestand: Kies of Newline wordt gebruikt voor Graylog en Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Selecteer deze keuze voor Graylog en Rsyslog TCP.

                                                                                                                                                  4. Klik op Doorgaan.

                                                                                                                                                  14

                                                                                                                                                  (Optioneel) U kunt de standaardwaarde voor bepaalde parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u wilt wijzigen:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik op Doorgaan op het scherm Wachtwoord serviceaccounts opnieuw instellen.

                                                                                                                                                  Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u wilt deze opnieuw instellen om eerdere ISO-bestanden ongeldig te maken.

                                                                                                                                                  16

                                                                                                                                                  Klik op ISO-bestand downloaden. Sla het bestand op een gemakkelijk te vinden locatie op.

                                                                                                                                                  17

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem.

                                                                                                                                                  Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  18

                                                                                                                                                  Als u het installatieprogramma wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten voor herstel te maken of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het herstellen van de sleutels uit uw PostgreSQL- of Microsoft SQL Server-database is niet mogelijk.


                                                                                                                                                   

                                                                                                                                                  We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze kwijtraakt.

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Gebruik deze procedure om een virtuele machine te maken vanuit het OVA-bestand.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

                                                                                                                                                  2

                                                                                                                                                  Selecteer File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

                                                                                                                                                  4

                                                                                                                                                  Op de Selecteer een naam en map pagina, voer een in Naam virtuele machine voor het knooppunt (bijvoorbeeld 'HDS_Node_1') kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Op de Een computerbron selecteren pagina, kies de bestemming compute resource en klik vervolgens op Volgende.

                                                                                                                                                  Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloondetails weergegeven.

                                                                                                                                                  6

                                                                                                                                                  Controleer de sjabloondetails en klik op Volgende.

                                                                                                                                                  7

                                                                                                                                                  Als u wordt gevraagd de resourceconfiguratie te kiezen op de Configuratie pagina, klik op 4 CPU en klik vervolgens op Volgende.

                                                                                                                                                  8

                                                                                                                                                  Op de Selecteer opslag pagina, klik op Volgende om de standaard schijfindeling en het VM-opslagbeleid te accepteren.

                                                                                                                                                  9

                                                                                                                                                  Op de Selecteer netwerken-pagina, kies de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

                                                                                                                                                  10

                                                                                                                                                  Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen:

                                                                                                                                                  • Hostnaam: voer de FQDN (hostnaam en domein) of een hostnaam met één woord in voor het knooppunt.

                                                                                                                                                     
                                                                                                                                                    • U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                    • Als u een succesvolle registratie bij de cloud wilt garanderen, gebruikt u alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld. Kapitalisatie wordt momenteel niet ondersteund.

                                                                                                                                                    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

                                                                                                                                                  • IP-adres— Voer het IP-adres in voor de interne interface van het knooppunt.

                                                                                                                                                     

                                                                                                                                                    Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  • Masker: voer het adres van het subnetmasker in de punt-decimale notatie in. Bijvoorbeeld 255.255.255.0.
                                                                                                                                                  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat als toegangspunt dient voor een ander netwerk.
                                                                                                                                                  • DNS-servers: voer een door komma's gescheiden lijst met DNS-servers in, die domeinnamen vertalen naar numerieke IP-adressen. (Maximaal 4 DNS-vermeldingen zijn toegestaan.)
                                                                                                                                                  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die in uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
                                                                                                                                                  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster bereikbaar zijn vanaf clients in uw netwerk voor administratieve doeleinden.

                                                                                                                                                  Indien gewenst kunt u de configuratie van de netwerkinstellingen overslaan en de stappen volgen in De hybride databeveiliging VM instellen om de instellingen vanaf de knooppuntconsole te configureren.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  11

                                                                                                                                                  Klik met de rechtermuisknop op het knooppunt VM en kies Voeding > Voeding aan.

                                                                                                                                                  De software voor hybride databeveiliging is geïnstalleerd als gast op de VM-host. U kunt zich nu aanmelden bij de console en het knooppunt configureren.

                                                                                                                                                  Tips voor het oplossen van problemen

                                                                                                                                                  U kunt een vertraging van een paar minuten ervaren voordat de knooppuntcontainers naar boven komen. Er verschijnt een brugfirewallbericht op de console tijdens de eerste keer opstarten, tijdens welke u zich niet kunt aanmelden.

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

                                                                                                                                                  1

                                                                                                                                                  Selecteer in de VMware vSphere-client uw knooppunt voor hybride databeveiliging VM en selecteer het tabblad Console.

                                                                                                                                                  De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldprompt niet wordt weergegeven, drukt u op Enter.
                                                                                                                                                  2

                                                                                                                                                  Gebruik de volgende standaardaanmelding en het volgende wachtwoord om u aan te melden en de aanmeldgegevens te wijzigen:

                                                                                                                                                  1. Aanmelden: admin

                                                                                                                                                  2. Wachtwoord: cisco

                                                                                                                                                  Aangezien u zich voor de eerste keer aanmeldt bij uw VM, moet u het beheerderswachtwoord wijzigen.

                                                                                                                                                  3

                                                                                                                                                  Als u de netwerkinstellingen al hebt geconfigureerd in Install the HDS Host OVA, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken.

                                                                                                                                                  4

                                                                                                                                                  Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  5

                                                                                                                                                  (Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om aan uw netwerkbeleid te voldoen.

                                                                                                                                                  U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                  6

                                                                                                                                                  Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen van kracht worden.

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Omdat het ISO-bestand de hoofdsleutel bevat, mag het alleen worden blootgesteld op een 'need to know'-basis, voor toegang door de VM's voor hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen die beheerders toegang hebben tot de gegevensopslag.

                                                                                                                                                  1

                                                                                                                                                  Upload het ISO-bestand vanaf uw computer:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

                                                                                                                                                  2. Klik in de hardwarelijst van het tabblad Configuratie op Opslag.

                                                                                                                                                  3. Klik in de lijst Datastores met de rechtermuisknop op de datastore voor uw VM's en klik op Browse Datastore.

                                                                                                                                                  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

                                                                                                                                                  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

                                                                                                                                                  6. Klik op Ja om de waarschuwing voor de upload-/downloadbewerking te accepteren en sluit het dialoogvenster Gegevensopslag.

                                                                                                                                                  2

                                                                                                                                                  Koppel het ISO-bestand:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  2. Klik op OK om de waarschuwing voor beperkte bewerkingsopties te accepteren.

                                                                                                                                                  3. Klikken CD/DVD Drive 1, selecteer de optie om te koppelen vanuit een ISO-bestand voor de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

                                                                                                                                                  4. Controleer Connected en Connect bij ingeschakeld contact.

                                                                                                                                                  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als uw IT-beleid dit vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride databeveiliging. Als u een transparante inspecterende proxy of een expliciete HTTPS-proxy kiest, kunt u de interface van het knooppunt gebruiken om het hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding controleren vanuit de interface en mogelijke problemen oplossen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  1

                                                                                                                                                  Voer de URL voor het instellen van het HDS-knooppunt in https://[HDS Node IP or FQDN]/setup voer in een webbrowser de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Trust Store & Proxy en kies een optie:

                                                                                                                                                  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante niet-inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om met een niet-inspecterende proxy te werken. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTPS-configuratiewijzigingen nodig voor de implementatie van hybride databeveiliging. De HDS-knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).
                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de client (HDS-knooppunten) aan welke proxyserver moet worden gebruikt. Deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: kies http (bekijkt en beheert alle aanvragen die van de client worden ontvangen) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar voor HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                  Volg de volgende stappen voor een transparante inspecterende proxy, een expliciete HTTP-proxy met basisverificatie of een expliciete HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik op Upload a Root Certificate or End Entity Certificate (Een hoofdcertificaat uploaden of een entiteitscertificaat beëindigen) en navigeer vervolgens naar een hoofdcertificaat voor de proxy kiezen.

                                                                                                                                                  Het certificaat is geüpload maar nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijl van de chevron bij de naam van de certificaatverstrekker voor meer informatie of klik op Verwijderen als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

                                                                                                                                                  Als de verbindingstest mislukt, ziet u een foutbericht met de reden en hoe u het probleem kunt oplossen.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken. Deze voorwaarde wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de modus Geblokkeerde externe DNS-resolutie. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u Geblokkeerde externe DNS-resolutiemodus uitschakelen.

                                                                                                                                                  5

                                                                                                                                                  Nadat de verbindingstest is verlopen en de expliciete proxy alleen is ingesteld op https, schakelt u de schakelaar in op Alle poort 443/444-https-verzoeken van dit knooppunt routeren via de expliciete proxy. Deze instelling heeft 15 seconden nodig om van kracht te worden.

                                                                                                                                                  6

                                                                                                                                                  Klik op Alle certificaten installeren in de Trust Store (wordt weergegeven voor een expliciete HTTPS-proxy of een transparante inspecterende proxy) of Opnieuw opstarten (wordt weergegeven voor een expliciete HTTP-proxy), lees de prompt en klik vervolgens op Installeren als u klaar bent.

                                                                                                                                                  Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

                                                                                                                                                  7

                                                                                                                                                  Nadat het knooppunt opnieuw is opgestart, meldt u zich indien nodig opnieuw aan en opent u de pagina Overzicht om de connectiviteitscontroles te controleren en ervoor te zorgen dat ze allemaal groen zijn.

                                                                                                                                                  Met de proxyverbindingscontrole wordt alleen een subdomein van webex.com getest. Als er verbindingsproblemen zijn, is een algemeen probleem dat sommige van de clouddomeinen die in de installatie-instructies worden vermeld, worden geblokkeerd bij de proxy.

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Voor deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in de Hybride databeveiliging VM instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

                                                                                                                                                  Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd om redundantie te bieden.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Selecteer Services in het menu links op het scherm.

                                                                                                                                                  3

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellen.

                                                                                                                                                  De pagina Knooppunt voor hybride databeveiliging registreren wordt weergegeven.
                                                                                                                                                  4

                                                                                                                                                  Selecteer Ja om aan te geven dat u het knooppunt hebt ingesteld en klaar bent om het te registreren. Klik vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Voer in het eerste veld een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

                                                                                                                                                  We raden u aan een cluster een naam te geven op basis van waar de knooppunten van het cluster zich geografisch bevinden. Voorbeelden: "San Francisco" of "New York" of "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                  Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein dat u hebt gebruikt in De VM voor hybride databeveiliging instellen.

                                                                                                                                                  Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik op Ga naar knooppunt.

                                                                                                                                                  8

                                                                                                                                                  Klik in het waarschuwingsbericht op Doorgaan.

                                                                                                                                                  Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  9

                                                                                                                                                  Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                  Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  10

                                                                                                                                                  Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Op de pagina Hybride databeveiliging wordt het nieuwe cluster weergegeven met het knooppunt dat u hebt geregistreerd. Het knooppunt downloadt automatisch de nieuwste software vanuit de cloud.

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Als u extra knooppunten aan uw cluster wilt toevoegen, maakt u gewoon extra VM's en monteert u hetzelfde configuratie-ISO-bestand en registreert u het knooppunt. We raden u aan ten minste 3 knooppunten te hebben.

                                                                                                                                                   

                                                                                                                                                  Op dit moment zijn de back-up-VM's die u hebt gemaakt in Voldoen aan de vereisten voor hybride databeveiliging stand-byhosts die alleen worden gebruikt in het geval van noodherstel. Ze zijn tot die tijd niet geregistreerd bij het systeem. Zie Noodherstel met behulp van het stand-bydatacenter voor meer informatie.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Maak een nieuwe virtuele machine vanuit de OVA en herhaal de stappen in Installeer de HDS-host-OVA.

                                                                                                                                                  2

                                                                                                                                                  Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De hybride databeveiliging instellen.

                                                                                                                                                  3

                                                                                                                                                  Herhaal op de nieuwe VM de stappen in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Configureer het HDS-knooppunt voor proxyintegratie indien nodig voor het nieuwe knooppunt.

                                                                                                                                                  5

                                                                                                                                                  Registreer het knooppunt.

                                                                                                                                                  1. Selecteer in https://admin.webex.comServices in het menu links op het scherm.

                                                                                                                                                  2. Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik op Resources.

                                                                                                                                                    De pagina Resources voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3. Klik op Resource toevoegen.

                                                                                                                                                  4. Selecteer in het eerste veld de naam van uw bestaande cluster.

                                                                                                                                                  5. Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                    Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex-cloud.
                                                                                                                                                  6. Klik op Ga naar knooppunt.

                                                                                                                                                    Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u machtigingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Uw knooppunt is geregistreerd. Houd er rekening mee dat totdat u een proefperiode start, uw knooppunten een alarm genereren dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)
                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie

                                                                                                                                                  Doorstroom proefperiode naar productietaak

                                                                                                                                                  Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers toevoegen en deze gaan gebruiken om uw implementatie te testen en te verifiëren ter voorbereiding op de overgang naar productie.

                                                                                                                                                  1

                                                                                                                                                  Indien van toepassing, synchroniseer de HdsTrialGroup groepsobject.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  2

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd.

                                                                                                                                                  3

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Controleer of belangrijke aanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Controleer de status en stel e-mailmeldingen in voor alarmen.

                                                                                                                                                  5

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  6

                                                                                                                                                  Voltooi de onderzoeksfase met een van de volgende acties:

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Proefperiode starten.

                                                                                                                                                  De servicestatus verandert in de proefmodus.
                                                                                                                                                  4

                                                                                                                                                  Klik op Gebruikers toevoegen en voer het e-mailadres van een of meer gebruikers in om uw knooppunten voor hybride databeveiliging te gebruiken voor codering- en indexeringsservices.

                                                                                                                                                  (Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory om de testgroep te beheren, HdsTrialGroup.)

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging te testen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Stel uw implementatie voor hybride databeveiliging in.

                                                                                                                                                  • Activeer de proefperiode en voeg verschillende proefgebruikers toe.

                                                                                                                                                  • Zorg ervoor dat u toegang hebt tot de syslog om te controleren of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilootgebruikers en maak vervolgens een ruimte en nodig ten minste één pilootgebruiker en één niet-pilootgebruiker uit.


                                                                                                                                                   

                                                                                                                                                  Als u de implementatie van hybride databeveiliging deactiveert, is inhoud in ruimten die pilootgebruikers maken niet meer toegankelijk zodra de in de client opgeslagen kopieën van de coderingssleutels zijn vervangen.

                                                                                                                                                  2

                                                                                                                                                  Verzend berichten naar de nieuwe ruimte.

                                                                                                                                                  3

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de sleutelaanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1. Als u wilt controleren of een gebruiker eerst een veilig kanaal naar de KMS heeft ingesteld, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden, zoals de volgende (identificatiegegevens ingekort voor leesbaarheid):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om te controleren of een gebruiker een bestaande sleutel van het KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Om te controleren of een gebruiker een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Als u wilt controleren of een gebruiker die het maken van een nieuw KMS Resource Object (KRO) aanvraagt wanneer een ruimte of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Een statusindicator in Control Hub geeft aan of alles goed gaat met de implementatie van hybride databeveiliging. Meld u aan voor e-mailmeldingen voor meer proactieve waarschuwingen. U krijgt een melding wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
                                                                                                                                                  1

                                                                                                                                                  Selecteer in Control HubServices in het menu links op het scherm.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellingen.

                                                                                                                                                  De pagina Instellingen voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3

                                                                                                                                                  Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen gescheiden door komma's en druk op Enter.

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  Nadat u een proefperiode hebt geactiveerd en de eerste set proefgebruikers hebt toegevoegd, kunt u op elk gewenst moment leden van de proefperiode toevoegen of verwijderen terwijl de proefperiode actief is.

                                                                                                                                                  Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker om sleutels en sleutels te maken vanuit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die is opgeslagen op uw KMS, zal de cloud-KMS deze namens de gebruiker ophalen.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep te beheren, HdsTrialGroup; u kunt de groepsleden weergeven in Control Hub, maar ze niet toevoegen of verwijderen.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Proefmodus van het gebied Servicestatus op Gebruikers toevoegen of klik op weergeven en bewerken om gebruikers uit de proefperiode te verwijderen.

                                                                                                                                                  4

                                                                                                                                                  Voer het e-mailadres in van een of meer gebruikers die u wilt toevoegen of klik op de X met een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan .

                                                                                                                                                  Overstappen van proefperiode naar productie

                                                                                                                                                  Als u er zeker van bent dat uw implementatie goed werkt voor de gebruikers van de proefperiode, kunt u overgaan naar productie. Wanneer u overgaat naar productie, gebruiken alle gebruikers in de organisatie uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. U kunt niet teruggaan naar de proefmodus vanuit de productie, tenzij u de service deactiveert als onderdeel van noodherstel. Als u de service opnieuw activeert, moet u een nieuwe proefperiode instellen.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Verplaatsen naar productie.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u al uw gebruikers naar de productie wilt verplaatsen.

                                                                                                                                                  Uw proefperiode beëindigen zonder over te stappen naar productie

                                                                                                                                                  Als u tijdens uw proefperiode besluit om niet door te gaan met uw implementatie van Hybride databeveiliging, kunt u Hybride databeveiliging deactiveren. Hiermee wordt de proefperiode beëindigd en worden de proefgebruikers weer verplaatst naar de cloudservices voor databeveiliging. De gebruikers van de proefperiode verliezen toegang tot de gegevens die tijdens de proefperiode zijn gecodeerd.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Deactiveren op Deactiveren.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u de service wilt deactiveren en beëindig de proefperiode.

                                                                                                                                                  Uw HDS-implementatie beheren

                                                                                                                                                  HDS-implementatie beheren

                                                                                                                                                  Gebruik de taken die hier worden beschreven om uw implementatie voor hybride databeveiliging te beheren.

                                                                                                                                                  Upgradeschema voor cluster instellen

                                                                                                                                                  Software-upgrades voor hybride databeveiliging worden automatisch uitgevoerd op clusterniveau, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens het upgradeschema voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie om de cluster handmatig te upgraden vóór de geplande upgradetijd. U kunt een specifiek upgradeschema instellen of het standaardschema van 3:00 AM Daily Verenigde Staten gebruiken: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

                                                                                                                                                  De upgradeplanning instellen:

                                                                                                                                                  1

                                                                                                                                                  Meld u aan Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Klik op de pagina Overzicht onder Hybride services op Hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Selecteer het cluster op de pagina Resources voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Selecteer in het deelvenster Overzicht aan de rechterkant onder Clusterinstellingen de clusternaam.

                                                                                                                                                  5

                                                                                                                                                  Selecteer op de pagina Instellingen onder Upgraden de tijd en tijdzone voor het upgradeschema.

                                                                                                                                                  Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen naar de volgende dag door op Uitstellen te klikken.

                                                                                                                                                  De knooppuntconfiguratie wijzigen

                                                                                                                                                  Soms moet u de configuratie van uw Hybrid Data Security-knooppunt wijzigen om een reden zoals:
                                                                                                                                                  • x.509-certificaten wijzigen vanwege verlopen of andere redenen.


                                                                                                                                                     

                                                                                                                                                    We ondersteunen het wijzigen van de CN- domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om het cluster te registreren.

                                                                                                                                                  • Database-instellingen bijwerken om te wijzigen in een replica van de PostgreSQL- of Microsoft SQL Server-database.


                                                                                                                                                     

                                                                                                                                                    We bieden geen ondersteuning voor het migreren van gegevens van PostgreSQL naar Microsoft SQL Server, of andersom. Als u de databaseomgeving wilt wijzigen, start u een nieuwe implementatie van Hybrid Data Security.

                                                                                                                                                  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

                                                                                                                                                  Om veiligheidsredenen gebruikt hybride databeveiliging serviceaccountwachtwoorden die elke 9 maanden worden gewijzigd. De HDS-setuptool genereert deze wachtwoorden en u implementeert ze in uw HDS-knooppunten als onderdeel van het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een 'kennisgeving van het verlopen van uw wachtwoord' van het Webex-team, waarin u wordt gevraagd het wachtwoord van uw machineaccount opnieuw in te stellen. (De e-mail bevat de tekst 'Gebruik de computeraccount- API om het wachtwoord bij te werken.') Als uw wachtwoorden nog niet zijn verlopen, biedt het hulpprogramma u twee opties:

                                                                                                                                                  • Zachte reset —De oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO -bestand op de knooppunten geleidelijk te vervangen.

                                                                                                                                                  • Harde reset —De oude wachtwoorden werken onmiddellijk niet meer.

                                                                                                                                                  Als uw wachtwoorden verlopen zonder een reset, heeft dit gevolgen voor uw HDS-service, waardoor een onmiddellijke harde reset en vervanging van het ISO -bestand op alle knooppunten nodig is.

                                                                                                                                                  Gebruik deze procedure om een nieuw ISO -configuratiebestand te genereren en dit toe te passen op uw cluster.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen bij het weergeven van de Docker-container in 1.e. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel die de PostgreSQL- of Microsoft SQL Server-database versleutelt. U hebt de ISO nodig wanneer u configuratiewijzigingen aanbrengt, inclusief databasereferenties, certificaatupdates of wijzigingen in het autorisatiebeleid.

                                                                                                                                                  1

                                                                                                                                                  Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

                                                                                                                                                  1. Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Met deze stap worden eerdere afbeeldingen van het HDS-configuratieprogramma opgeschoond. Als er geen eerdere afbeeldingen zijn, wordt een fout geretourneerd die u kunt negeren.

                                                                                                                                                  2. Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download de nieuwste stabiele installatiekopie voor uw omgeving:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 beschikken niet over de schermen voor het opnieuw instellen van wachtwoorden.

                                                                                                                                                  5. Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                    • In normale omgevingen zonder een proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'.

                                                                                                                                                  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  7. Wanneer u hierom wordt gevraagd, voert u uw -klantaanmeldgegevens in en klikt u vervolgens op Accepteren om door te gaan.

                                                                                                                                                  8. Importeer het huidige ISO-configuratiebestand.

                                                                                                                                                  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

                                                                                                                                                    Als u het installatieprogramma wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

                                                                                                                                                  2

                                                                                                                                                  Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor het -knooppunt en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

                                                                                                                                                  1. Installeer de HDS-host-OVA.

                                                                                                                                                  2. Stel de HDS-VM in.

                                                                                                                                                  3. Koppel het bijgewerkte configuratiebestand.

                                                                                                                                                  4. Registreer het nieuwe knooppunt in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Koppel het ISO -bestand voor bestaande HDS-knooppunten waarop het oudere configuratiebestand wordt uitgevoerd. Voer de volgende procedure uit op elk knooppunt en werk elk knooppunt bij voordat u het volgende knooppunt uitschakelt:

                                                                                                                                                  1. Schakel de virtuele machine uit.

                                                                                                                                                  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  3. Klikken CD/DVD Drive 1 Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

                                                                                                                                                  4. Schakel het selectievakje Verbinding maken na inschakelen in.

                                                                                                                                                  5. Sla uw wijzigingen op en schakel de virtuele machine in.

                                                                                                                                                  4

                                                                                                                                                  Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus uitschakelen

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. Als de DNS-server van het knooppunt geen openbare DNS-namen kan oplossen, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie.

                                                                                                                                                  Als uw knooppunten openbare DNS-namen kunnen oplossen via interne DNS-servers, kunt u deze modus uitschakelen door de proxyverbindingstest op elk knooppunt opnieuw uit te voeren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Zorg ervoor dat uw interne DNS-servers openbare DNS-namen kunnen oplossen en dat uw knooppunten met hen kunnen communiceren.
                                                                                                                                                  1

                                                                                                                                                  Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/instellingen, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Overzicht (de standaardpagina).

                                                                                                                                                  Indien ingeschakeld, Geblokkeerde externe DNS omzetting is ingesteld op Ja .

                                                                                                                                                  3

                                                                                                                                                  Ga naar de pagina Vertrouwensarchief & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken en blijft deze modus actief. Anders moet de geblokkeerde externe DNS-resolutie worden ingesteld op nee nadat u het knooppunt opnieuw hebt opgestart en teruggaat naar de pagina Overzicht.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Herhaal de proxyverbindingstest op elk knooppunt in uw cluster voor hybride databeveiliging.

                                                                                                                                                  Een knooppunt verwijderen

                                                                                                                                                  Gebruik deze procedure om een knooppunt voor hybride databeveiliging uit de Webex-cloud te verwijderen. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en de virtuele machine uit te schakelen.

                                                                                                                                                  2

                                                                                                                                                  Verwijder het knooppunt:

                                                                                                                                                  1. Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources voor hybride databeveiliging weer te geven.

                                                                                                                                                  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

                                                                                                                                                  4. Klik op Knooppuntenlijst openen.

                                                                                                                                                  5. Selecteer op het tabblad Knooppunten het knooppunt dat u wilt verwijderen.

                                                                                                                                                  6. Klik op Acties > Knooppunt uitschrijven.

                                                                                                                                                  3

                                                                                                                                                  Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

                                                                                                                                                  Als u de VM niet verwijdert, moet u het ISO-configuratiebestand loskoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken om toegang te krijgen tot uw beveiligingsgegevens.

                                                                                                                                                  Noodherstel met behulp van het stand-bydatacenter

                                                                                                                                                  De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt voor het coderen van berichten en andere inhoud die in de Webex-cloud is opgeslagen. Voor elke gebruiker binnen de organisatie die is toegewezen aan hybride databeveiliging, worden nieuwe aanvragen voor het maken van sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de sleutels die zijn gemaakt aan gebruikers die bevoegd zijn om ze op te halen, bijvoorbeeld leden van een gespreksruimte.

                                                                                                                                                  Omdat het cluster de kritieke functie van het leveren van deze sleutels vervult, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden behouden. Verlies van de database met hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van inhoud van de klant. De volgende praktijken zijn verplicht om een dergelijk verlies te voorkomen:

                                                                                                                                                  Als door een calamiteit de HDS-implementatie in het primaire datacenter niet meer beschikbaar is, volgt u deze procedure om handmatig te failover te gaan naar het stand-bydatacenter.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe of verwijder de passiveMode configuratie om het knooppunt actief te maken. Het knooppunt kan het verkeer afhandelen zodra dit is geconfigureerd.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de knooppunten van het stand-bydatacenter zich niet in de passieve modus bevinden. 'KMS geconfigureerd in de passieve modus' mag niet worden weergegeven in de syslogs.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als het primaire datacenter na failover weer actief wordt, plaatst u het stand-bydatacenter opnieuw in de passieve modus door de stappen te volgen die worden beschreven in Setup Standby Data Center for Disaster Recovery.

                                                                                                                                                  (Optioneel) ISO loskoppelen na HDS-configuratie

                                                                                                                                                  De standaard HDS-configuratie wordt uitgevoerd met de ISO gemonteerd. Maar sommige klanten geven er de voorkeur aan ISO-bestanden niet continu gemonteerd achter te laten. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

                                                                                                                                                  U gebruikt de ISO-bestanden nog steeds om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de installatietool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra al uw knooppunten de configuratiewijzigingen hebben overgenomen, kunt u de ISO opnieuw loskoppelen met deze procedure.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

                                                                                                                                                  1

                                                                                                                                                  Sluit een van uw HDS-knooppunten af.

                                                                                                                                                  2

                                                                                                                                                  Selecteer het HDS-knooppunt in het vCenter-serverapparaat.

                                                                                                                                                  3

                                                                                                                                                  Kies Instellingen bewerken > CD/DVD-station en ISO-gegevensopslagbestand uitschakelen.

                                                                                                                                                  4

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 20 minuten geen alarmen zijn.

                                                                                                                                                  5

                                                                                                                                                  Herhaal dit om de beurt voor elk HDS-knooppunt.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Waarschuwingen en problemen weergeven

                                                                                                                                                  Een implementatie voor hybride databeveiliging wordt als onbeschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als het cluster zo traag werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

                                                                                                                                                  • Nieuwe ruimten kunnen niet worden gemaakt (kan geen nieuwe sleutels maken)

                                                                                                                                                  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

                                                                                                                                                    • Nieuwe gebruikers toegevoegd aan een ruimte (kan geen toetsen ophalen)

                                                                                                                                                    • Bestaande gebruikers in een ruimte met een nieuwe client (kan geen sleutels ophalen)

                                                                                                                                                  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

                                                                                                                                                  Het is belangrijk dat u uw cluster voor hybride databeveiliging goed bewaakt en alle waarschuwingen onmiddellijk aanpakt om onderbrekingen van de service te voorkomen.

                                                                                                                                                  Waarschuwingen

                                                                                                                                                  Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen aan de organisatiebeheerder weer en worden e-mails naar het geconfigureerde e-mailadres verzonden. De waarschuwingen behandelen veel voorkomende scenario's.

                                                                                                                                                  Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

                                                                                                                                                  Alarm

                                                                                                                                                  Actie

                                                                                                                                                  Toegang tot lokale database mislukt.

                                                                                                                                                  Controleer op databasefouten of problemen met het lokale netwerk.

                                                                                                                                                  Lokale databaseverbinding mislukt.

                                                                                                                                                  Controleer of de databaseserver beschikbaar is en of de juiste serviceaccountgegevens zijn gebruikt in de knooppuntconfiguratie.

                                                                                                                                                  Toegang tot cloudservice mislukt.

                                                                                                                                                  Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Externe verbindingsvereisten.

                                                                                                                                                  Cloudserviceregistratie vernieuwen.

                                                                                                                                                  Registratie bij cloudservices is geschrapt. De registratie wordt vernieuwd.

                                                                                                                                                  Registratie van cloudservice is verbroken.

                                                                                                                                                  Registratie voor cloudservices is beëindigd. De service wordt afgesloten.

                                                                                                                                                  Service nog niet geactiveerd.

                                                                                                                                                  Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie.

                                                                                                                                                  Het geconfigureerde domein komt niet overeen met het servercertificaat.

                                                                                                                                                  Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

                                                                                                                                                  De meest waarschijnlijke oorzaak is dat de CN van het certificaat onlangs is gewijzigd en nu verschilt van de CN die tijdens de eerste installatie is gebruikt.

                                                                                                                                                  Kan niet verifiëren bij cloudservices.

                                                                                                                                                  Controleer of de gegevens van het serviceaccount correct zijn en mogelijk verlopen.

                                                                                                                                                  Kan lokaal keystore-bestand niet openen.

                                                                                                                                                  Controleer op integriteit en nauwkeurigheid van het wachtwoord in het lokale keystore-bestand.

                                                                                                                                                  Lokaal servercertificaat is ongeldig.

                                                                                                                                                  Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

                                                                                                                                                  Kan statistieken niet plaatsen.

                                                                                                                                                  Controleer de toegang van het lokale netwerk tot externe cloudservices.

                                                                                                                                                  /media/configdrive/hds directory bestaat niet.

                                                                                                                                                  Controleer de ISO-montageconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om opnieuw op te starten en of het met succes wordt geïnstalleerd.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met hybride databeveiliging.
                                                                                                                                                  1

                                                                                                                                                  Controleer Control Hub op waarschuwingen en los alle items op die u daar vindt.

                                                                                                                                                  2

                                                                                                                                                  Controleer de uitvoer van de syslog-server voor activiteit vanuit de implementatie voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Neem contact op met de ondersteuning van Cisco.

                                                                                                                                                  Andere opmerkingen

                                                                                                                                                  Bekende problemen voor hybride databeveiliging

                                                                                                                                                  • Als u uw cluster voor hybride databeveiliging afsluit (door het te verwijderen in Control Hub of door alle knooppunten af te sluiten), uw configuratie-ISO-bestand verliest of toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst met personen die zijn gemaakt met toetsen van uw KMS. Dit geldt zowel voor proefperioden als voor productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en dringen er bij u op aan om uw HDS-services niet af te sluiten zodra ze actieve gebruikersaccounts afhandelen.

                                                                                                                                                  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een periode (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefperiode voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken tot er een time-out optreedt. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact opneemt voor coderingssleutels.

                                                                                                                                                    Hetzelfde gedrag treedt op wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle niet-proefgebruikers met bestaande ECDH-verbindingen met de vorige gegevensbeveiligingsservices blijven deze services gebruiken totdat er opnieuw wordt onderhandeld over de ECDH-verbinding (via time-out of door afmelden en weer aanmelden).

                                                                                                                                                  OpenSSL gebruiken om een PKCS12-bestand te genereren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS Setup Tool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten niet op de een of andere manier.

                                                                                                                                                  • Als u ervoor kiest om OpenSSL te gebruiken, bieden we deze procedure aan als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

                                                                                                                                                  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

                                                                                                                                                  • Maak een privésleutel aan.

                                                                                                                                                  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificeringsinstantie (CA).

                                                                                                                                                  1

                                                                                                                                                  Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Geef het certificaat weer als tekst en controleer de details.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Gebruik een teksteditor om een certificaatbundelbestand met de naam hdsnode-bundle.pem. Het bundelbestand moet het servercertificaat, eventuele tussentijdse CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Maak het .p12-bestand met de vriendelijke naam kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controleer de gegevens van het servercertificaat.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Voer een wachtwoord in om de privésleutel te coderen, zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de lijnen bevatten friendlyName: kms-private-key.

                                                                                                                                                    Voorbeeld:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Ga terug naar Vereisten voor hybride databeveiliging voltooien. U gebruikt de hdsnode.p12 bestand en het wachtwoord dat u ervoor hebt ingesteld, in Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

                                                                                                                                                  Verkeer tussen de HDS-knooppunten en de cloud

                                                                                                                                                  Verkeer voor verzameling uitgaande statistieken

                                                                                                                                                  De knooppunten voor hybride databeveiliging sturen bepaalde statistieken naar de Webex-cloud. Dit zijn onder andere systeemstatistieken voor de maximale heap, gebruikte heap, CPU-belasting en draadtelling; statistieken over synchrone en asynchrone threads; statistieken over waarschuwingen met een drempelwaarde voor coderingsverbindingen, latentie of de lengte van een aanvraagwachtrij; statistieken over de gegevensopslag; en coderingsverbindingsstatistieken. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (gescheiden van het verzoekkanaal).

                                                                                                                                                  Inkomend verkeer

                                                                                                                                                  De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer vanuit de Webex-cloud:

                                                                                                                                                  • Coderingsverzoeken van clients die door de coderingsservice worden gerouteerd

                                                                                                                                                  • Upgrades naar de knooppuntsoftware

                                                                                                                                                  Squid-proxy's configureren voor hybride databeveiliging

                                                                                                                                                  Websocket kan geen verbinding maken via de Squid Proxy

                                                                                                                                                  Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de instelling van websocket ( wss:) verbindingen die Hybride databeveiliging vereist. Deze secties bieden richtlijnen voor het configureren van verschillende versies van Squid om te negeren wss: verkeer voor de goede werking van de diensten.

                                                                                                                                                  Inktvis 4 en 5

                                                                                                                                                  Voeg de on_unsupported_protocol richtlijn tot squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Pijlinktvis 3.5.27

                                                                                                                                                  We hebben hybride databeveiliging met succes getest met de volgende regels toegevoegd aan squid.conf. Deze regels kunnen worden gewijzigd bij het ontwikkelen van functies en het bijwerken van de Webex-cloud.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Voorwoord

                                                                                                                                                  Nieuwe en gewijzigde informatie

                                                                                                                                                  Datum

                                                                                                                                                  Aangebrachte wijzigingen

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augustus 2023

                                                                                                                                                  23 mei 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker Desktop.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  U kunt het bestand met de privésleutel en de CSR opnieuw gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie.

                                                                                                                                                  30 april 2021

                                                                                                                                                  De VM-vereiste voor lokale harde schijfruimte is gewijzigd in 30 GB. Zie Vereisten voor virtuele host voor meer informatie.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  De HDS-installatietool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO maken voor de HDS-hosts voor meer informatie.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu worden uitgevoerd zonder een gemonteerd ISO-bestand. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Informatie toegevoegd over het hulpprogramma HDS-instellingen en proxy's om een configuratie-ISO voor de HDS-hosts te maken.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Bijgewerkte Installatiebestanden downloaden.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt.

                                                                                                                                                  14 augustus 2020

                                                                                                                                                  De configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces.

                                                                                                                                                  5 augustus 2020

                                                                                                                                                  Bijgewerkte Test uw implementatie voor hybride databeveiliging voor wijzigingen in logboekberichten.

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om het maximale aantal hosts te verwijderen.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Bijgewerkt Een knooppunt verwijderen voor wijzigingen in de gebruikersinterface van Control Hub.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  De ISO voor configuratie maken voor de HDS-hosts is bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk hebt ingesteld.

                                                                                                                                                  29 mei 2020

                                                                                                                                                  Bijgewerkt: maak een configuratie-ISO voor de HDS-hosts om aan te geven dat u ook TLS kunt gebruiken met SQL Server-databases, gebruikersgebruikerswijzigingen en andere verduidelijkingen.

                                                                                                                                                  5 mei 2020

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om de nieuwe vereisten voor ESXi 6.5 weer te geven.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met nieuwe Americas CI-hosts.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met informatie over regionale CI-hosts.

                                                                                                                                                  20 februari 2020Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met informatie over het nieuwe optionele scherm Geavanceerde instellingen in de HDS-installatietool.
                                                                                                                                                  4 februari 2020Proxyserververeisten bijgewerkt.
                                                                                                                                                  16 december 2019De vereiste voor geblokkeerde externe DNS-resolutiemodus is verduidelijkt om te werken in de vereisten voor de proxyserver.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende gedeelten:

                                                                                                                                                  8 november 2019

                                                                                                                                                  U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van erna.

                                                                                                                                                  De volgende gedeelten zijn dienovereenkomstig bijgewerkt:


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Standaard SQL-server toegevoegd aan vereisten voor databaseserver.

                                                                                                                                                  29 augustus 2019Bijlage Squid-proxy's configureren voor hybride databeveiliging toegevoegd met richtlijnen voor het configureren van squid-proxy's om websocketverkeer te negeren voor een goede werking.
                                                                                                                                                  20 augustus 2019

                                                                                                                                                  Er zijn gedeelten toegevoegd en bijgewerkt voor proxyondersteuning voor communicatie van knooppunten voor hybride databeveiliging naar de Webex-cloud.

                                                                                                                                                  Zie het Help-artikel Proxy-ondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie.

                                                                                                                                                  13 juni 2019Bijgewerkte Trial to Production Task Flow met een herinnering om de HdsTrialGroup groepsobject voordat een proefperiode wordt gestart als uw organisatie adreslijstsynchronisatie gebruikt.
                                                                                                                                                  6 maart 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • De hoeveelheid lokale harde schijfruimte per server die u opzij moet zetten bij het voorbereiden van de virtuele hosts die de knooppunten voor hybride databeveiliging worden, van 50 GB tot 20 GB, is gecorrigeerd om de grootte van de schijf weer te geven die door de OVA wordt gemaakt.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Knooppunten voor hybride databeveiliging ondersteunen nu gecodeerde verbindingen met PostgreSQL-databaseservers en gecodeerde logboekverbindingen met een TLS-compatibele syslog-server. Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met instructies.

                                                                                                                                                  • De bestemmings-URL's zijn verwijderd uit de tabel 'Vereisten voor internetconnectiviteit voor hybride gegevensbeveiligingsknooppunt VM's'. De tabel verwijst nu naar de lijst die wordt bijgehouden in de tabel 'Aanvullende URL's voor hybride services van Webex Teams' van Netwerkvereisten voor Webex Teams-services.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybride databeveiliging ondersteunt nu Microsoft SQL Server als database. SQL Server Always On (Always On Failover Clusters en Always on Availability Groups) wordt ondersteund door de JDBC-stuurprogramma's die worden gebruikt in hybride databeveiliging. Er is inhoud toegevoegd met betrekking tot implementatie met SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ondersteuning voor Microsoft SQL Server is alleen bedoeld voor nieuwe implementaties van Hybride databeveiliging. We ondersteunen momenteel geen migratie van gegevens van PostgreSQL naar Microsoft SQL Server in een bestaande implementatie.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 mei 2018

                                                                                                                                                  Gewijzigde terminologie om de rebranding van Cisco Spark weer te geven:

                                                                                                                                                  • Cisco Spark hybride databeveiliging is nu hybride databeveiliging.

                                                                                                                                                  • De Cisco Spark-app is nu de Webex-app.

                                                                                                                                                  • De Cisco Collaboraton Cloud is nu de Webex-cloud.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • In de tabel X.509-certificaatvereisten is gespecificeerd dat het certificaat geen jokercertificaat kan zijn en dat de KMS het CN-domein gebruikt, niet een domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Adreslijstsynchronisatie van de HdsTrialGroup is verduidelijkt.

                                                                                                                                                  • Vaste instructies voor het uploaden van het ISO-configuratiebestand voor montage op de VM-knooppunten.

                                                                                                                                                  18 augustus 2017

                                                                                                                                                  Voor het eerst gepubliceerd

                                                                                                                                                  Aan de slag met hybride databeveiliging

                                                                                                                                                  Overzicht van hybride databeveiliging

                                                                                                                                                  Vanaf dag één is gegevensbeveiliging de belangrijkste focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end inhoudsversleuteling, mogelijk gemaakt door Webex -app-clients die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografische sleutels die clients gebruiken om berichten en bestanden dynamisch te versleutelen en ontsleutelen.

                                                                                                                                                  Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride gegevensbeveiliging verplaatst het KMS en andere beveiligingsgerelateerde functies naar het bedrijfsgegevens , zodat niemand anders dan u de sleutels heeft tot uw versleutelde inhoud.

                                                                                                                                                  Architectuur beveiligingsgebied

                                                                                                                                                  De Webex-cloudarchitectuur scheidt verschillende soorten service in afzonderlijke realms of vertrouwensdomeinen, zoals hieronder wordt weergegeven.

                                                                                                                                                  Scheidingsgebieden (zonder hybride databeveiliging)

                                                                                                                                                  Laten we eerst eens kijken naar deze zuivere cloudcase, waarin Cisco alle functies in zijn clouddomeinen aanbiedt om meer inzicht te krijgen in hybride databeveiliging. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks kunnen worden gecorreleerd met hun persoonlijke informatie zoals e-mailadres, is logisch en fysiek gescheiden van de beveiligingsrealm in datacenter B. Beide zijn op hun beurt gescheiden van de realm waar versleutelde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

                                                                                                                                                  In dit diagram is de client de Webex-app die wordt uitgevoerd op de laptop van een gebruiker en is deze geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

                                                                                                                                                  1. De client maakt een veilige verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel om het bericht te versleutelen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

                                                                                                                                                  2. Het bericht wordt gecodeerd voordat het de client verlaat. De klant stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

                                                                                                                                                  3. Het gecodeerde bericht wordt verzonden naar de nalevingsservice voor nalevingscontroles.

                                                                                                                                                  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

                                                                                                                                                  Wanneer u hybride databeveiliging implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de realms van Cisco.

                                                                                                                                                  Samenwerken met andere organisaties

                                                                                                                                                  Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, routeert uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS te krijgen en stuurt de sleutel vervolgens terug naar uw gebruiker op het oorspronkelijke kanaal.

                                                                                                                                                  De KMS-service die wordt uitgevoerd in organisatie A valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw implementatie voor hybride databeveiliging.

                                                                                                                                                  Verwachtingen voor het implementeren van hybride databeveiliging

                                                                                                                                                  Een implementatie van hybride databeveiliging vereist een aanzienlijke klantbetrokkenheid en een bewustzijn van de risico's van het bezit van coderingssleutels.

                                                                                                                                                  Als u hybride databeveiliging wilt implementeren, moet u het volgende opgeven:

                                                                                                                                                  Volledig verlies van de configuratie-ISO die u maakt voor hybride databeveiliging of de database die u levert, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers inhoud van de ruimte en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar alleen nieuwe inhoud is zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

                                                                                                                                                  • De back-up en het herstel van de database en de configuratie-ISO beheren.

                                                                                                                                                  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing in de databaseschijf of een ramp met het datacenter.


                                                                                                                                                   

                                                                                                                                                  Er is geen mechanisme om sleutels na een HDS-implementatie terug naar de cloud te verplaatsen.

                                                                                                                                                  Installatieproces op hoog niveau

                                                                                                                                                  Dit document behandelt het instellen en beheren van een implementatie voor hybride databeveiliging:

                                                                                                                                                  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset gebruikers in de proefmodus en, zodra uw tests zijn voltooid, het verplaatsen naar productie. Hiermee wordt de hele organisatie geconverteerd om uw cluster voor hybride databeveiliging te gebruiken voor beveiligingsfuncties.

                                                                                                                                                    De installatie-, proef- en productiefasen worden in de volgende drie hoofdstukken in detail besproken.

                                                                                                                                                  • Uw implementatie voor hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch voortdurende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig ondersteuning van Cisco inschakelen. U kunt meldingen op het scherm gebruiken en op e-mail gebaseerde waarschuwingen instellen in Control Hub.

                                                                                                                                                  • Algemene waarschuwingen, stappen voor probleemoplossing en bekende problemen begrijpen: als u problemen ondervindt bij het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  In uw bedrijfsdatacenter implementeert u hybride databeveiliging als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

                                                                                                                                                  Tijdens het installatieproces bieden we u het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt monteert. Het cluster Hybride databeveiliging gebruikt de door u geleverde Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de details van de Syslogd- en databaseverbinding in de HDS-installatietool.)

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  Het minimumaantal knooppunten dat u in een cluster kunt hebben is twee. We raden ten minste drie aan en u kunt er maximaal vijf hebben. Als u meerdere knooppunten hebt, wordt de service niet onderbroken tijdens een software-upgrade of andere onderhoudsactiviteit op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

                                                                                                                                                  Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en logboekactiviteit op dezelfde syslog-server. De knooppunten zelf zijn stateloos, en behandelen belangrijke verzoeken in round-robin mode, zoals geregisseerd door de cloud.

                                                                                                                                                  Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt buiten gebruik wilt stellen, kunt u de registratie ongedaan maken en later opnieuw registreren, indien nodig.

                                                                                                                                                  We ondersteunen slechts één cluster per organisatie.

                                                                                                                                                  Proefmodus voor hybride databeveiliging

                                                                                                                                                  Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u dit eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.

                                                                                                                                                  Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de pilootgebruikers en alle gebruikers met wie ze tijdens de proefperiode interactie hebben gehad door nieuwe ruimten te maken, de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.

                                                                                                                                                  Als u ervan overtuigd bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilootgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, bijvoorbeeld om noodherstel uit te voeren, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilootgebruikers voor de nieuwe proefperiode instellen voordat u teruggaat naar de productiemodus. Of gebruikers op dit moment toegang tot gegevens behouden, hangt af van het feit of u back-ups van de sleutelgegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster hebt onderhouden.

                                                                                                                                                  Standby-datacenter voor noodherstel

                                                                                                                                                  Tijdens de implementatie stelt u een beveiligd stand-bydatacenter in. In het geval van een ramp met een datacenter kunt u uw implementatie handmatig overzetten naar het stand-bydatacenter.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Handmatige failover naar stand-bydatacenter

                                                                                                                                                  De databases van de actieve en stand-by datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is om de failover uit te voeren, tot een minimum wordt beperkt. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten zijn geregistreerd bij de organisatie, maar geen verkeer afhandelen. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van de HDS-software.


                                                                                                                                                   

                                                                                                                                                  De actieve knooppunten voor hybride databeveiliging moeten altijd in hetzelfde datacenter zijn als de actieve databaseserver.

                                                                                                                                                  Standby-datacenter instellen voor noodherstel

                                                                                                                                                  Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Het stand-bydatacenter moet de productieomgeving van VM's en een back-up PostgreSQL- of Microsoft SQL Server-database weerspiegelen. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. (Zie Standby Data Center for Disaster Recovery voor een overzicht van dit failovermodel.)

                                                                                                                                                  • Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database met actieve en passieve clusterknooppunten.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.


                                                                                                                                                   

                                                                                                                                                  Het ISO-bestand moet een kopie zijn van het originele ISO-bestand van het primaire datacenter waarop de volgende configuratieupdates moeten worden uitgevoerd.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar wordt er geen verkeer afgehandeld.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslogs om te controleren of de knooppunten zich in de passieve modus bevinden. U moet het bericht 'KMS geconfigureerd in passieve modus' in de syslogs kunnen bekijken.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Na het configureren passiveMode in het ISO-bestand en opslaan, kunt u een andere kopie van het ISO-bestand maken zonder de passiveMode configureren en opslaan op een veilige locatie. Deze kopie van het ISO-bestand zonder passiveMode geconfigureerd kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met behulp van het stand-bydatacenter voor de gedetailleerde failoverprocedure.

                                                                                                                                                  Proxyondersteuning

                                                                                                                                                  Hybride databeveiliging ondersteunt expliciete, transparante en niet-inspecterende proxy's. U kunt deze proxy's aan uw implementatie koppelen zodat u het verkeer van de onderneming naar de cloud kunt beveiligen en bewaken. U kunt een platformbeheerinterface op de knooppunten gebruiken voor certificaatbeheer en om de algehele verbindingsstatus te controleren nadat u de proxy op de knooppunten hebt ingesteld.

                                                                                                                                                  De knooppunten voor hybride databeveiliging ondersteunen de volgende proxyopties:

                                                                                                                                                  • Geen proxy: de standaardinstelling als u de HDS-knooppuntconfiguratie Vertrouwensarchief en proxy niet gebruikt om een proxy te integreren. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante niet-inspecterende proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante tunneling of inspectie van proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP- of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).

                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welk proxyserver- en verificatieschema u moet gebruiken. Als u een expliciete proxy wilt configureren, moet u de volgende informatie op elk knooppunt invoeren:

                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

                                                                                                                                                      • HTTP: geeft alle verzoeken weer die de client verzendt en beheert deze.

                                                                                                                                                      • HTTPS: biedt een kanaal naar de server. De client ontvangt het servercertificaat en valideert het.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar als u HTTPS selecteert als proxyprotocol.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                  Voorbeeld van knooppunten voor hybride databeveiliging en proxy

                                                                                                                                                  In dit diagram ziet u een voorbeeldverbinding tussen hybride databeveiliging, netwerk en een proxy. Voor de opties voor transparante inspectie en HTTPS expliciete inspectie proxy moet hetzelfde hoofdcertificaat worden geïnstalleerd op de proxy en op de knooppunten voor hybride databeveiliging.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus (expliciete proxyconfiguraties)

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. In implementaties met expliciete proxyconfiguraties die geen externe DNS-resolutie voor interne clients toestaan, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie als het knooppunt de DNS-servers niet kan opvragen. In deze modus kunnen knooppuntregistratie en andere proxyverbindingstests worden voortgezet.

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  Vereisten voor hybride databeveiliging

                                                                                                                                                  Vereisten voor Cisco Webex-licenties

                                                                                                                                                  Hybride databeveiliging implementeren:

                                                                                                                                                  Vereisten voor Docker Desktop

                                                                                                                                                  Voordat u uw HDS-knooppunten installeert, hebt u Docker Desktop nodig om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie heeft mogelijk een betaald abonnement voor Docker Desktop nodig. Voor meer informatie raadpleegt u het Docker-blogbericht ' Docker werkt onze productabonnementen bij en verlengt deze ".

                                                                                                                                                  Vereisten voor X.509-certificaten

                                                                                                                                                  De certificaatketen moet aan de volgende vereisten voldoen:

                                                                                                                                                  Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

                                                                                                                                                  Vereiste

                                                                                                                                                  Details

                                                                                                                                                  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

                                                                                                                                                  Standaard vertrouwen we de CA’s in de Mozilla lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Bevat een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

                                                                                                                                                  • Is geen jokercertificaat

                                                                                                                                                  De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die uw organisatie weergeeft, bijvoorbeeld: hds.company.com.

                                                                                                                                                  De algemene naam mag geen * (jokerteken) bevatten.

                                                                                                                                                  De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren bij clients van de Webex-app. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  Zodra u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat kan worden toegepast op zowel de proefperiode- als productie-implementaties.

                                                                                                                                                  • Niet-SHA1 handtekening

                                                                                                                                                  De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

                                                                                                                                                  • Geformatteerd als een met een wachtwoord beveiligd PKCS #12-bestand

                                                                                                                                                  • Gebruik de vriendelijke naam van kms-private-key om het certificaat, de privésleutel en eventuele tussenliggende certificaten te taggen die moeten worden geüpload.

                                                                                                                                                  U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

                                                                                                                                                  U moet het wachtwoord invoeren wanneer u de HDS-installatietool uitvoert.

                                                                                                                                                  De KMS-software dwingt sleutelgebruik of uitgebreide beperkingen voor sleutelgebruik niet af. Sommige certificeringsinstanties vereisen dat uitgebreide belangrijke gebruiksbeperkingen worden toegepast op elk certificaat, zoals serververificatie. U mag de serververificatie of andere instellingen gebruiken.

                                                                                                                                                  Vereisten voor virtuele host

                                                                                                                                                  De virtuele hosts die u instelt als knooppunten voor hybride databeveiliging in uw cluster, hebben de volgende vereisten:

                                                                                                                                                  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich in hetzelfde beveiligde datacenter bevinden

                                                                                                                                                  • VMware ESXi 6.5 (of hoger) geïnstalleerd en actief.


                                                                                                                                                     

                                                                                                                                                    U moet upgraden als u een eerdere versie van ESXi hebt.

                                                                                                                                                  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

                                                                                                                                                  Vereisten voor databaseserver


                                                                                                                                                   

                                                                                                                                                  Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. Wanneer de HDS-toepassingen zijn geïnstalleerd, maakt u het databaseschema.

                                                                                                                                                  Er zijn twee opties voor databaseserver. De vereisten voor elk zijn als volgt:

                                                                                                                                                  Tabel 2. Vereisten databaseserver per type database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

                                                                                                                                                  • SQL Server 2016, 2017 of 2019 (Enterprise of Standard) geïnstalleerd.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL JDBC-stuurprogramma van SQL Server 4.6

                                                                                                                                                  Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover Cluster Instances en Always On availability groups).

                                                                                                                                                  Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

                                                                                                                                                  Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

                                                                                                                                                  • De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

                                                                                                                                                  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees-/schrijftoegang hebben tot de database.

                                                                                                                                                  • De DNS-servers die u aan HDS-knooppunten levert, moeten uw Key Distribution Center (KDC) kunnen oplossen.

                                                                                                                                                  • U kunt de HDS-database-instantie op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een servicenaam registreren voor Kerberos-verbindingen.

                                                                                                                                                    De HDS-installatietool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens van uw ISO-configuratie om de SPN te construeren wanneer ze toegang aanvragen met Kerberos-verificatie.

                                                                                                                                                  Externe connectiviteitsvereisten

                                                                                                                                                  Configureer uw firewall om de volgende verbinding voor de HDS-toepassingen toe te staan:

                                                                                                                                                  App

                                                                                                                                                  Protocol

                                                                                                                                                  Poort

                                                                                                                                                  Richting van app

                                                                                                                                                  Bestemming

                                                                                                                                                  Knooppunten voor hybride databeveiliging

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS en WSS

                                                                                                                                                  • Webex-servers:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • Andere URL's die worden vermeld voor beveiliging van hybride gegevens in de tabel Aanvullende URL's voor hybride Webex-services met netwerkvereisten voor Webex-services

                                                                                                                                                  Hulpprogramma voor HDS-instellingen

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die inkomend zijn naar de knooppunten voor hybride databeveiliging, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients voor beheerdoeleinden toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22.

                                                                                                                                                  De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:

                                                                                                                                                  Regio

                                                                                                                                                  Host-URL's van Common Identity

                                                                                                                                                  Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europese Unie

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Vereisten voor proxyserver

                                                                                                                                                  • We ondersteunen officieel de volgende proxyoplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride databeveiliging.

                                                                                                                                                    • Transparante proxy: Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Expliciete proxy: Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de oprichting van websocket verstoren (wss:) verbindingen. Zie Squid-proxy's configureren voor hybride databeveiliging voor meer informatie over dit probleem.

                                                                                                                                                  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

                                                                                                                                                    • Geen verificatie met HTTP of HTTPS

                                                                                                                                                    • Basisverificatie met HTTP of HTTPS

                                                                                                                                                    • Digestverificatie met alleen HTTPS

                                                                                                                                                  • Voor een transparante inspecterende proxy of een expliciete HTTPS-proxy moet u een kopie hebben van het hoofdcertificaat van de proxy. De implementatie-instructies in deze handleiding vertellen u hoe u de kopie kunt uploaden naar de vertrouwensarchieven van de knooppunten voor hybride databeveiliging.

                                                                                                                                                  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 te dwingen via de proxy te routeren.

                                                                                                                                                  • Proxy's die webverkeer inspecteren, kunnen de verbindingen met de websocket verstoren. Indien dit probleem zich voordoet, verkeer overslaan (niet inspecteren) naar wbx2.com en ciscospark.com zal het probleem oplossen.

                                                                                                                                                  Voldoen aan de vereisten voor hybride databeveiliging

                                                                                                                                                  Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
                                                                                                                                                  1

                                                                                                                                                  Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en ontvang de referenties van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

                                                                                                                                                  2

                                                                                                                                                  Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  3

                                                                                                                                                  Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt ten minste twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter zijn geplaatst en voldoen aan de vereisten in Vereisten voor virtuele host.

                                                                                                                                                  4

                                                                                                                                                  Bereid de databaseserver voor die zal fungeren als de belangrijkste gegevensopslag voor het cluster, overeenkomstig de vereisten voor de databaseserver. De databaseserver moet samen met de virtuele hosts in het beveiligde datacenter worden geplaatst.

                                                                                                                                                  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik de standaarddatabase niet. De HDS-toepassingen maken het databaseschema wanneer ze zijn geïnstalleerd.)

                                                                                                                                                  2. Verzamel de gegevens die de knooppunten gebruiken om met de databaseserver te communiceren:

                                                                                                                                                    • de hostnaam of het IP-adres (host) en de poort

                                                                                                                                                    • de naam van de database (dbname) voor key storage

                                                                                                                                                    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de database met sleutelopslag

                                                                                                                                                  5

                                                                                                                                                  Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben.

                                                                                                                                                  6

                                                                                                                                                  Stel een Syslog-host in om logboeken te verzamelen van de knooppunten in het cluster. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Maak een veilig back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.


                                                                                                                                                   

                                                                                                                                                  Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die worden gebruikt voor codering en decodering van inhoud, leidt het niet onderhouden van een operationele implementatie tot het ONHERSTELBARE VERLIES van die inhoud.

                                                                                                                                                  Clients van de Webex-app brengen hun sleutels in de cache, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen niet te voorkomen zijn, kunnen ze worden hersteld. Volledig verlies (geen back-ups beschikbaar) van de database of het ISO-configuratiebestand leidt echter tot niet-herstelbare klantgegevens. Van de beheerders van de knooppunten voor hybride databeveiliging wordt verwacht dat ze regelmatig back-ups van de database en het configuratie-ISO-bestand onderhouden, en dat ze bereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als er een catastrofale storing optreedt.

                                                                                                                                                  8

                                                                                                                                                  Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw hybride databeveiligingsknooppunten mogelijk maakt, zoals beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  9

                                                                                                                                                  Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft tot het besturingssysteem op http://127.0.0.1:8080.

                                                                                                                                                  U gebruikt het Docker-exemplaar om de HDS-installatietool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratie-informatie op voor alle knooppunten voor hybride databeveiliging. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker Desktop voor meer informatie.

                                                                                                                                                  Om de HDS-setuptool te installeren en uit te voeren, moet de lokale machine de connectiviteit hebben die wordt beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  10

                                                                                                                                                  Als u een proxy integreert met hybride databeveiliging, moet u ervoor zorgen dat deze voldoet aan de vereisten voor de proxyserver.

                                                                                                                                                  11

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, maakt u een groep in Active Directory met de naam HdsTrialGroup en pilootgebruikers toevoegen. De proefgroep kan maximaal 250 gebruikers hebben. Het HdsTrialGroup object moet worden gesynchroniseerd met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Als u een groepsobject wilt synchroniseren, selecteert u het in de van de directoryconnector Configuratie > menu Objectselectie. (Zie de Implementatiehandleiding voor Cisco Directoryconnector voor gedetailleerde instructies.)


                                                                                                                                                   

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Houd er bij het selecteren van pilootgebruikers rekening mee dat als u besluit de implementatie voor hybride databeveiliging permanent te deactiveren, alle gebruikers geen toegang meer hebben tot inhoud in de ruimten die door de pilootgebruikers zijn gemaakt. Het verlies wordt duidelijk zodra de apps van gebruikers hun in de cache opgeslagen kopieën van de inhoud vernieuwen.

                                                                                                                                                  Een cluster voor hybride databeveiliging instellen

                                                                                                                                                  Taakstroom implementatie hybride databeveiliging

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  1

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  Download het OVA-bestand naar uw lokale computer voor later gebruik.

                                                                                                                                                  2

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Gebruik de HDS-installatietool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Maak een virtuele machine vanuit het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  4

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd ten tijde van de OVA-implementatie.

                                                                                                                                                  5

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  6

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u indien nodig het proxycertificaat toe aan het vertrouwensarchief.

                                                                                                                                                  7

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Registreer de VM bij de Cisco Webex-cloud als een knooppunt voor hybride databeveiliging.

                                                                                                                                                  8

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Voltooi de clusterinstelling.

                                                                                                                                                  9

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)

                                                                                                                                                  Totdat u een proefperiode start, genereren uw knooppunten een alarm dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). Je gebruikt dit bestand later in het installatieproces.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en klik vervolgens op Services.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik vervolgens op Instellen.

                                                                                                                                                  Als de kaart is uitgeschakeld of u deze niet ziet, neemt u contact op met uw accountteam of uw partnerorganisatie. Geef uw accountnummer en vraag of u uw organisatie wilt inschakelen voor hybride databeveiliging. Als u het accountnummer wilt vinden, klikt u op het tandwiel rechtsboven naast de naam van uw organisatie.


                                                                                                                                                   

                                                                                                                                                  U kunt de OVA ook op elk gewenst moment downloaden via het gedeelte Help op de pagina Instellingen. Klik op de kaart Hybride databeveiliging op Instellingen bewerken om de pagina te openen. Klik vervolgens op Hybride databeveiligingssoftware downloaden in het gedeelte Help.


                                                                                                                                                   

                                                                                                                                                  Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de nieuwste versie van het OVA-bestand downloadt.

                                                                                                                                                  3

                                                                                                                                                  Selecteer Nee om aan te geven dat u het knooppunt nog niet hebt ingesteld en klik vervolgens op Volgende.

                                                                                                                                                  Het OVA-bestand begint automatisch te downloaden. Sla het bestand op een locatie op uw computer op.
                                                                                                                                                  4

                                                                                                                                                  U kunt ook op Implementatiehandleiding openen klikken om te controleren of er een latere versie van deze handleiding beschikbaar is.

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Het installatieproces voor hybride databeveiliging maakt een ISO-bestand. Vervolgens gebruikt u de ISO om uw host voor hybride databeveiliging te configureren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5 opent. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de nieuwste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals:

                                                                                                                                                    • Aanmeldgegevens database

                                                                                                                                                    • Certificaatupdates

                                                                                                                                                    • Wijzigingen in het autorisatiebeleid

                                                                                                                                                  • Als u databaseverbindingen wilt versleutelen, stelt u uw PostgreSQL- of SQL Server-implementatie voor TLS in.

                                                                                                                                                  1

                                                                                                                                                  Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Met deze stap worden eerdere afbeeldingen van het HDS-configuratieprogramma opgeschoond. Als er geen eerdere afbeeldingen zijn, wordt een fout geretourneerd die u kunt negeren.

                                                                                                                                                  2

                                                                                                                                                  Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download de nieuwste stabiele installatiekopie voor uw omgeving:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                  • In normale omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  Gebruik een webbrowser om naar de localhost te gaan http://127.0.0.1:8080 en voer de gebruikersnaam van de klantbeheerder voor Control Hub in de prompt in.

                                                                                                                                                  De tool gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Het hulpprogramma geeft vervolgens de standaard aanmeldingsprompt weer.

                                                                                                                                                  7

                                                                                                                                                  Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de Control Hub-klantbeheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

                                                                                                                                                  8

                                                                                                                                                  Klik op de overzichtspagina van de installatietool op Aan de slag.

                                                                                                                                                  9

                                                                                                                                                  Op de pagina ISO Import hebt u de volgende opties:

                                                                                                                                                  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
                                                                                                                                                  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de browse en uploadt u het.
                                                                                                                                                  10

                                                                                                                                                  Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  • Als u nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat OK is, klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat is verlopen of als u het wilt vervangen, selecteert u Nee voor Doorgaan met gebruik van HDS-certificaatketen en privésleutel uit vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
                                                                                                                                                  11

                                                                                                                                                  Voer het databaseadres en het account voor HDS in om toegang te krijgen tot uw belangrijke gegevensopslag:

                                                                                                                                                  1. Selecteer uw Database Type (PostgreSQL of Microsoft SQL Server).

                                                                                                                                                    Als u Microsoft SQL Server kiest, krijgt u een veld Verificatietype.

                                                                                                                                                  2. (Alleen Microsoft SQL Server) Selecteer uw verificatietype:

                                                                                                                                                    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam.

                                                                                                                                                    • Windows-verificatie: U hebt een Windows-account in de indeling nodig username@DOMAIN in het veld Gebruikersnaam.

                                                                                                                                                  3. Voer het adres van de databaseserver in het formulier in <hostname>:<port> of <IP-address>:<port>.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    dbhost.example.org:1433 of 198.51.100.17:1433

                                                                                                                                                    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

                                                                                                                                                    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

                                                                                                                                                  4. Voer de databasenaam in.

                                                                                                                                                  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten in de database voor sleutelopslag.

                                                                                                                                                  12

                                                                                                                                                  Selecteer een TLS-databaseverbindingsmodus:

                                                                                                                                                  Mode

                                                                                                                                                  Beschrijving

                                                                                                                                                  Voorkeur voor TLS (standaardoptie)

                                                                                                                                                  Voor HDS-knooppunten is geen TLS vereist om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

                                                                                                                                                  TLS vereisen

                                                                                                                                                  HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  TLS vereisen en certificaatondertekenaar verifiëren


                                                                                                                                                   

                                                                                                                                                  Deze modus is niet van toepassing op SQL Server-databases.

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik de hoofdcertificaat van database control onder de vervolgkeuzelijst om het hoofdcertificaat voor deze optie te uploaden.

                                                                                                                                                  TLS vereisen en certificaatondertekenaar en hostnaam verifiëren

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databasehost en -poort. De namen moeten exact overeenkomen, anders verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik de hoofdcertificaat van database control onder de vervolgkeuzelijst om het hoofdcertificaat voor deze optie te uploaden.

                                                                                                                                                  Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-installatietool de TLS-verbinding met de databaseserver. Het hulpprogramma verifieert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, geeft het hulpprogramma een foutmelding waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en wilt doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de HDS-installatietool niet met succes kan worden getest.)

                                                                                                                                                  13

                                                                                                                                                  Configureer uw Syslogd-server op de pagina Systeemlogboeken:

                                                                                                                                                  1. Voer de URL van de syslog-server in.

                                                                                                                                                    Als de server niet DNS-oplosbaar is vanuit de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij Syslogd-host 10.92.43.23 op UDP-poort 514.
                                                                                                                                                  2. Als u uw server instelt om TLS-codering te gebruiken, controleert u Is uw syslog-server geconfigureerd voor SSL-codering?.

                                                                                                                                                    Als u dit selectievakje inschakelt, moet u een TCP-URL invoeren, zoals tcp://10.92.43.23:514.

                                                                                                                                                  3. Kies in de vervolgkeuzelijst Beëindiging syslog-record kiezen de juiste instelling voor uw ISO-bestand: Kies of Newline wordt gebruikt voor Graylog en Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Selecteer deze keuze voor Graylog en Rsyslog TCP.

                                                                                                                                                  4. Klik op Doorgaan.

                                                                                                                                                  14

                                                                                                                                                  (Optioneel) U kunt de standaardwaarde voor bepaalde parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u wilt wijzigen:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik op Doorgaan op het scherm Wachtwoord serviceaccounts opnieuw instellen.

                                                                                                                                                  Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u wilt deze opnieuw instellen om eerdere ISO-bestanden ongeldig te maken.

                                                                                                                                                  16

                                                                                                                                                  Klik op ISO-bestand downloaden. Sla het bestand op een gemakkelijk te vinden locatie op.

                                                                                                                                                  17

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem.

                                                                                                                                                  Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  18

                                                                                                                                                  Als u het installatieprogramma wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten voor herstel te maken of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het herstellen van de sleutels uit uw PostgreSQL- of Microsoft SQL Server-database is niet mogelijk.


                                                                                                                                                   

                                                                                                                                                  We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze kwijtraakt.

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Gebruik deze procedure om een virtuele machine te maken vanuit het OVA-bestand.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

                                                                                                                                                  2

                                                                                                                                                  Selecteer File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

                                                                                                                                                  4

                                                                                                                                                  Op de Selecteer een naam en map pagina, voer een in Naam virtuele machine voor het knooppunt (bijvoorbeeld 'HDS_Node_1') kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Op de Een computerbron selecteren pagina, kies de bestemming compute resource en klik vervolgens op Volgende.

                                                                                                                                                  Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloondetails weergegeven.

                                                                                                                                                  6

                                                                                                                                                  Controleer de sjabloondetails en klik op Volgende.

                                                                                                                                                  7

                                                                                                                                                  Als u wordt gevraagd de resourceconfiguratie te kiezen op de Configuratie pagina, klik op 4 CPU en klik vervolgens op Volgende.

                                                                                                                                                  8

                                                                                                                                                  Op de Selecteer opslag pagina, klik op Volgende om de standaard schijfindeling en het VM-opslagbeleid te accepteren.

                                                                                                                                                  9

                                                                                                                                                  Op de Selecteer netwerken-pagina, kies de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

                                                                                                                                                  10

                                                                                                                                                  Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen:

                                                                                                                                                  • Hostnaam: voer de FQDN (hostnaam en domein) of een hostnaam met één woord in voor het knooppunt.

                                                                                                                                                     
                                                                                                                                                    • U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                    • Als u een succesvolle registratie bij de cloud wilt garanderen, gebruikt u alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld. Kapitalisatie wordt momenteel niet ondersteund.

                                                                                                                                                    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

                                                                                                                                                  • IP-adres— Voer het IP-adres in voor de interne interface van het knooppunt.

                                                                                                                                                     

                                                                                                                                                    Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  • Masker: voer het adres van het subnetmasker in de punt-decimale notatie in. Bijvoorbeeld 255.255.255.0.
                                                                                                                                                  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat als toegangspunt dient voor een ander netwerk.
                                                                                                                                                  • DNS-servers: voer een door komma's gescheiden lijst met DNS-servers in, die domeinnamen vertalen naar numerieke IP-adressen. (Maximaal 4 DNS-vermeldingen zijn toegestaan.)
                                                                                                                                                  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die in uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
                                                                                                                                                  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster bereikbaar zijn vanaf clients in uw netwerk voor administratieve doeleinden.

                                                                                                                                                  Indien gewenst kunt u de configuratie van de netwerkinstellingen overslaan en de stappen volgen in De hybride databeveiliging VM instellen om de instellingen vanaf de knooppuntconsole te configureren.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  11

                                                                                                                                                  Klik met de rechtermuisknop op het knooppunt VM en kies Voeding > Voeding aan.

                                                                                                                                                  De software voor hybride databeveiliging is geïnstalleerd als gast op de VM-host. U kunt zich nu aanmelden bij de console en het knooppunt configureren.

                                                                                                                                                  Tips voor het oplossen van problemen

                                                                                                                                                  U kunt een vertraging van een paar minuten ervaren voordat de knooppuntcontainers naar boven komen. Er verschijnt een brugfirewallbericht op de console tijdens de eerste keer opstarten, tijdens welke u zich niet kunt aanmelden.

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

                                                                                                                                                  1

                                                                                                                                                  Selecteer in de VMware vSphere-client uw knooppunt voor hybride databeveiliging VM en selecteer het tabblad Console.

                                                                                                                                                  De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldprompt niet wordt weergegeven, drukt u op Enter.
                                                                                                                                                  2

                                                                                                                                                  Gebruik de volgende standaardaanmelding en het volgende wachtwoord om u aan te melden en de aanmeldgegevens te wijzigen:

                                                                                                                                                  1. Aanmelden: admin

                                                                                                                                                  2. Wachtwoord: cisco

                                                                                                                                                  Aangezien u zich voor de eerste keer aanmeldt bij uw VM, moet u het beheerderswachtwoord wijzigen.

                                                                                                                                                  3

                                                                                                                                                  Als u de netwerkinstellingen al hebt geconfigureerd in Install the HDS Host OVA, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken.

                                                                                                                                                  4

                                                                                                                                                  Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  5

                                                                                                                                                  (Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om aan uw netwerkbeleid te voldoen.

                                                                                                                                                  U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                  6

                                                                                                                                                  Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen van kracht worden.

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Omdat het ISO-bestand de hoofdsleutel bevat, mag het alleen worden blootgesteld op een 'need to know'-basis, voor toegang door de VM's voor hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen die beheerders toegang hebben tot de gegevensopslag.

                                                                                                                                                  1

                                                                                                                                                  Upload het ISO-bestand vanaf uw computer:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

                                                                                                                                                  2. Klik in de hardwarelijst van het tabblad Configuratie op Opslag.

                                                                                                                                                  3. Klik in de lijst Datastores met de rechtermuisknop op de datastore voor uw VM's en klik op Browse Datastore.

                                                                                                                                                  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

                                                                                                                                                  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

                                                                                                                                                  6. Klik op Ja om de waarschuwing voor de upload-/downloadbewerking te accepteren en sluit het dialoogvenster Gegevensopslag.

                                                                                                                                                  2

                                                                                                                                                  Koppel het ISO-bestand:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  2. Klik op OK om de waarschuwing voor beperkte bewerkingsopties te accepteren.

                                                                                                                                                  3. Klikken CD/DVD Drive 1, selecteer de optie om te koppelen vanuit een ISO-bestand voor de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

                                                                                                                                                  4. Controleer Connected en Connect bij ingeschakeld contact.

                                                                                                                                                  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als uw IT-beleid dit vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride databeveiliging. Als u een transparante inspecterende proxy of een expliciete HTTPS-proxy kiest, kunt u de interface van het knooppunt gebruiken om het hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding controleren vanuit de interface en mogelijke problemen oplossen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  1

                                                                                                                                                  Voer de URL voor het instellen van het HDS-knooppunt in https://[HDS Node IP or FQDN]/setup voer in een webbrowser de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Trust Store & Proxy en kies een optie:

                                                                                                                                                  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante niet-inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om met een niet-inspecterende proxy te werken. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTPS-configuratiewijzigingen nodig voor de implementatie van hybride databeveiliging. De HDS-knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).
                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de client (HDS-knooppunten) aan welke proxyserver moet worden gebruikt. Deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: kies http (bekijkt en beheert alle aanvragen die van de client worden ontvangen) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar voor HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                  Volg de volgende stappen voor een transparante inspecterende proxy, een expliciete HTTP-proxy met basisverificatie of een expliciete HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik op Upload a Root Certificate or End Entity Certificate (Een hoofdcertificaat uploaden of een entiteitscertificaat beëindigen) en navigeer vervolgens naar een hoofdcertificaat voor de proxy kiezen.

                                                                                                                                                  Het certificaat is geüpload maar nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijl van de chevron bij de naam van de certificaatverstrekker voor meer informatie of klik op Verwijderen als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

                                                                                                                                                  Als de verbindingstest mislukt, ziet u een foutbericht met de reden en hoe u het probleem kunt oplossen.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken. Deze voorwaarde wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de modus Geblokkeerde externe DNS-resolutie. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u Geblokkeerde externe DNS-resolutiemodus uitschakelen.

                                                                                                                                                  5

                                                                                                                                                  Nadat de verbindingstest is verlopen en de expliciete proxy alleen is ingesteld op https, schakelt u de schakelaar in op Alle poort 443/444-https-verzoeken van dit knooppunt routeren via de expliciete proxy. Deze instelling heeft 15 seconden nodig om van kracht te worden.

                                                                                                                                                  6

                                                                                                                                                  Klik op Alle certificaten installeren in de Trust Store (wordt weergegeven voor een expliciete HTTPS-proxy of een transparante inspecterende proxy) of Opnieuw opstarten (wordt weergegeven voor een expliciete HTTP-proxy), lees de prompt en klik vervolgens op Installeren als u klaar bent.

                                                                                                                                                  Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

                                                                                                                                                  7

                                                                                                                                                  Nadat het knooppunt opnieuw is opgestart, meldt u zich indien nodig opnieuw aan en opent u de pagina Overzicht om de connectiviteitscontroles te controleren en ervoor te zorgen dat ze allemaal groen zijn.

                                                                                                                                                  Met de proxyverbindingscontrole wordt alleen een subdomein van webex.com getest. Als er verbindingsproblemen zijn, is een algemeen probleem dat sommige van de clouddomeinen die in de installatie-instructies worden vermeld, worden geblokkeerd bij de proxy.

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Voor deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in de Hybride databeveiliging VM instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

                                                                                                                                                  Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd om redundantie te bieden.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Selecteer Services in het menu links op het scherm.

                                                                                                                                                  3

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellen.

                                                                                                                                                  De pagina Knooppunt voor hybride databeveiliging registreren wordt weergegeven.
                                                                                                                                                  4

                                                                                                                                                  Selecteer Ja om aan te geven dat u het knooppunt hebt ingesteld en klaar bent om het te registreren. Klik vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Voer in het eerste veld een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

                                                                                                                                                  We raden u aan een cluster een naam te geven op basis van waar de knooppunten van het cluster zich geografisch bevinden. Voorbeelden: "San Francisco" of "New York" of "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                  Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein dat u hebt gebruikt in De VM voor hybride databeveiliging instellen.

                                                                                                                                                  Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik op Ga naar knooppunt.

                                                                                                                                                  8

                                                                                                                                                  Klik in het waarschuwingsbericht op Doorgaan.

                                                                                                                                                  Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  9

                                                                                                                                                  Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                  Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  10

                                                                                                                                                  Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Op de pagina Hybride databeveiliging wordt het nieuwe cluster weergegeven met het knooppunt dat u hebt geregistreerd. Het knooppunt downloadt automatisch de nieuwste software vanuit de cloud.

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Als u extra knooppunten aan uw cluster wilt toevoegen, maakt u gewoon extra VM's en monteert u hetzelfde configuratie-ISO-bestand en registreert u het knooppunt. We raden u aan ten minste 3 knooppunten te hebben.

                                                                                                                                                   

                                                                                                                                                  Op dit moment zijn de back-up-VM's die u hebt gemaakt in Voldoen aan de vereisten voor hybride databeveiliging stand-byhosts die alleen worden gebruikt in het geval van noodherstel. Ze zijn tot die tijd niet geregistreerd bij het systeem. Zie Noodherstel met behulp van het stand-bydatacenter voor meer informatie.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Maak een nieuwe virtuele machine vanuit de OVA en herhaal de stappen in Installeer de HDS-host-OVA.

                                                                                                                                                  2

                                                                                                                                                  Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De hybride databeveiliging instellen.

                                                                                                                                                  3

                                                                                                                                                  Herhaal op de nieuwe VM de stappen in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Configureer het HDS-knooppunt voor proxyintegratie indien nodig voor het nieuwe knooppunt.

                                                                                                                                                  5

                                                                                                                                                  Registreer het knooppunt.

                                                                                                                                                  1. Selecteer in https://admin.webex.comServices in het menu links op het scherm.

                                                                                                                                                  2. Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik op Resources.

                                                                                                                                                    De pagina Resources voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3. Klik op Resource toevoegen.

                                                                                                                                                  4. Selecteer in het eerste veld de naam van uw bestaande cluster.

                                                                                                                                                  5. Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                    Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex-cloud.
                                                                                                                                                  6. Klik op Ga naar knooppunt.

                                                                                                                                                    Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u machtigingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Uw knooppunt is geregistreerd. Houd er rekening mee dat totdat u een proefperiode start, uw knooppunten een alarm genereren dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)
                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie

                                                                                                                                                  Doorstroom proefperiode naar productietaak

                                                                                                                                                  Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers toevoegen en deze gaan gebruiken om uw implementatie te testen en te verifiëren ter voorbereiding op de overgang naar productie.

                                                                                                                                                  1

                                                                                                                                                  Indien van toepassing, synchroniseer de HdsTrialGroup groepsobject.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  2

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd.

                                                                                                                                                  3

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Controleer of belangrijke aanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Controleer de status en stel e-mailmeldingen in voor alarmen.

                                                                                                                                                  5

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  6

                                                                                                                                                  Voltooi de onderzoeksfase met een van de volgende acties:

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Proefperiode starten.

                                                                                                                                                  De servicestatus verandert in de proefmodus.
                                                                                                                                                  4

                                                                                                                                                  Klik op Gebruikers toevoegen en voer het e-mailadres van een of meer gebruikers in om uw knooppunten voor hybride databeveiliging te gebruiken voor codering- en indexeringsservices.

                                                                                                                                                  (Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory om de testgroep te beheren, HdsTrialGroup.)

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging te testen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Stel uw implementatie voor hybride databeveiliging in.

                                                                                                                                                  • Activeer de proefperiode en voeg verschillende proefgebruikers toe.

                                                                                                                                                  • Zorg ervoor dat u toegang hebt tot de syslog om te controleren of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilootgebruikers en maak vervolgens een ruimte en nodig ten minste één pilootgebruiker en één niet-pilootgebruiker uit.


                                                                                                                                                   

                                                                                                                                                  Als u de implementatie van hybride databeveiliging deactiveert, is inhoud in ruimten die pilootgebruikers maken niet meer toegankelijk zodra de in de client opgeslagen kopieën van de coderingssleutels zijn vervangen.

                                                                                                                                                  2

                                                                                                                                                  Verzend berichten naar de nieuwe ruimte.

                                                                                                                                                  3

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de sleutelaanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1. Als u wilt controleren of een gebruiker eerst een veilig kanaal naar de KMS heeft ingesteld, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden, zoals de volgende (identificatiegegevens ingekort voor leesbaarheid):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om te controleren of een gebruiker een bestaande sleutel van het KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Om te controleren of een gebruiker een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Als u wilt controleren of een gebruiker die het maken van een nieuw KMS Resource Object (KRO) aanvraagt wanneer een ruimte of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Een statusindicator in Control Hub geeft aan of alles goed gaat met de implementatie van hybride databeveiliging. Meld u aan voor e-mailmeldingen voor meer proactieve waarschuwingen. U krijgt een melding wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
                                                                                                                                                  1

                                                                                                                                                  Selecteer in Control HubServices in het menu links op het scherm.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellingen.

                                                                                                                                                  De pagina Instellingen voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3

                                                                                                                                                  Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen gescheiden door komma's en druk op Enter.

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  Nadat u een proefperiode hebt geactiveerd en de eerste set proefgebruikers hebt toegevoegd, kunt u op elk gewenst moment leden van de proefperiode toevoegen of verwijderen terwijl de proefperiode actief is.

                                                                                                                                                  Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker om sleutels en sleutels te maken vanuit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die is opgeslagen op uw KMS, zal de cloud-KMS deze namens de gebruiker ophalen.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep te beheren, HdsTrialGroup; u kunt de groepsleden weergeven in Control Hub, maar ze niet toevoegen of verwijderen.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Proefmodus van het gebied Servicestatus op Gebruikers toevoegen of klik op weergeven en bewerken om gebruikers uit de proefperiode te verwijderen.

                                                                                                                                                  4

                                                                                                                                                  Voer het e-mailadres in van een of meer gebruikers die u wilt toevoegen of klik op de X met een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan .

                                                                                                                                                  Overstappen van proefperiode naar productie

                                                                                                                                                  Als u er zeker van bent dat uw implementatie goed werkt voor de gebruikers van de proefperiode, kunt u overgaan naar productie. Wanneer u overgaat naar productie, gebruiken alle gebruikers in de organisatie uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. U kunt niet teruggaan naar de proefmodus vanuit de productie, tenzij u de service deactiveert als onderdeel van noodherstel. Als u de service opnieuw activeert, moet u een nieuwe proefperiode instellen.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Verplaatsen naar productie.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u al uw gebruikers naar de productie wilt verplaatsen.

                                                                                                                                                  Uw proefperiode beëindigen zonder over te stappen naar productie

                                                                                                                                                  Als u tijdens uw proefperiode besluit om niet door te gaan met uw implementatie van Hybride databeveiliging, kunt u Hybride databeveiliging deactiveren. Hiermee wordt de proefperiode beëindigd en worden de proefgebruikers weer verplaatst naar de cloudservices voor databeveiliging. De gebruikers van de proefperiode verliezen toegang tot de gegevens die tijdens de proefperiode zijn gecodeerd.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Deactiveren op Deactiveren.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u de service wilt deactiveren en beëindig de proefperiode.

                                                                                                                                                  Uw HDS-implementatie beheren

                                                                                                                                                  HDS-implementatie beheren

                                                                                                                                                  Gebruik de taken die hier worden beschreven om uw implementatie voor hybride databeveiliging te beheren.

                                                                                                                                                  Upgradeschema voor cluster instellen

                                                                                                                                                  Software-upgrades voor hybride databeveiliging worden automatisch uitgevoerd op clusterniveau, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens het upgradeschema voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie om de cluster handmatig te upgraden vóór de geplande upgradetijd. U kunt een specifiek upgradeschema instellen of het standaardschema van 3:00 AM Daily Verenigde Staten gebruiken: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

                                                                                                                                                  De upgradeplanning instellen:

                                                                                                                                                  1

                                                                                                                                                  Meld u aan Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Klik op de pagina Overzicht onder Hybride services op Hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Selecteer het cluster op de pagina Resources voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Selecteer in het deelvenster Overzicht aan de rechterkant onder Clusterinstellingen de clusternaam.

                                                                                                                                                  5

                                                                                                                                                  Selecteer op de pagina Instellingen onder Upgraden de tijd en tijdzone voor het upgradeschema.

                                                                                                                                                  Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen naar de volgende dag door op Uitstellen te klikken.

                                                                                                                                                  De knooppuntconfiguratie wijzigen

                                                                                                                                                  Soms moet u de configuratie van uw Hybrid Data Security-knooppunt wijzigen om een reden zoals:
                                                                                                                                                  • x.509-certificaten wijzigen vanwege verlopen of andere redenen.


                                                                                                                                                     

                                                                                                                                                    We ondersteunen het wijzigen van de CN- domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om het cluster te registreren.

                                                                                                                                                  • Database-instellingen bijwerken om te wijzigen in een replica van de PostgreSQL- of Microsoft SQL Server-database.


                                                                                                                                                     

                                                                                                                                                    We bieden geen ondersteuning voor het migreren van gegevens van PostgreSQL naar Microsoft SQL Server, of andersom. Als u de databaseomgeving wilt wijzigen, start u een nieuwe implementatie van Hybrid Data Security.

                                                                                                                                                  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

                                                                                                                                                  Om veiligheidsredenen gebruikt hybride databeveiliging serviceaccountwachtwoorden die elke 9 maanden worden gewijzigd. De HDS-setuptool genereert deze wachtwoorden en u implementeert ze in uw HDS-knooppunten als onderdeel van het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een 'kennisgeving van het verlopen van uw wachtwoord' van het Webex-team, waarin u wordt gevraagd het wachtwoord van uw machineaccount opnieuw in te stellen. (De e-mail bevat de tekst 'Gebruik de computeraccount- API om het wachtwoord bij te werken.') Als uw wachtwoorden nog niet zijn verlopen, biedt het hulpprogramma u twee opties:

                                                                                                                                                  • Zachte reset —De oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO -bestand op de knooppunten geleidelijk te vervangen.

                                                                                                                                                  • Harde reset —De oude wachtwoorden werken onmiddellijk niet meer.

                                                                                                                                                  Als uw wachtwoorden verlopen zonder een reset, heeft dit gevolgen voor uw HDS-service, waardoor een onmiddellijke harde reset en vervanging van het ISO -bestand op alle knooppunten nodig is.

                                                                                                                                                  Gebruik deze procedure om een nieuw ISO -configuratiebestand te genereren en dit toe te passen op uw cluster.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen bij het weergeven van de Docker-container in 1.e. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel die de PostgreSQL- of Microsoft SQL Server-database versleutelt. U hebt de ISO nodig wanneer u configuratiewijzigingen aanbrengt, inclusief databasereferenties, certificaatupdates of wijzigingen in het autorisatiebeleid.

                                                                                                                                                  1

                                                                                                                                                  Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

                                                                                                                                                  1. Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Met deze stap worden eerdere afbeeldingen van het HDS-configuratieprogramma opgeschoond. Als er geen eerdere afbeeldingen zijn, wordt een fout geretourneerd die u kunt negeren.

                                                                                                                                                  2. Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download de nieuwste stabiele installatiekopie voor uw omgeving:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 beschikken niet over de schermen voor het opnieuw instellen van wachtwoorden.

                                                                                                                                                  5. Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                    • In normale omgevingen zonder een proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'.

                                                                                                                                                  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  7. Wanneer u hierom wordt gevraagd, voert u uw -klantaanmeldgegevens in en klikt u vervolgens op Accepteren om door te gaan.

                                                                                                                                                  8. Importeer het huidige ISO-configuratiebestand.

                                                                                                                                                  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

                                                                                                                                                    Als u het installatieprogramma wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

                                                                                                                                                  2

                                                                                                                                                  Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor het -knooppunt en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

                                                                                                                                                  1. Installeer de HDS-host-OVA.

                                                                                                                                                  2. Stel de HDS-VM in.

                                                                                                                                                  3. Koppel het bijgewerkte configuratiebestand.

                                                                                                                                                  4. Registreer het nieuwe knooppunt in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Koppel het ISO -bestand voor bestaande HDS-knooppunten waarop het oudere configuratiebestand wordt uitgevoerd. Voer de volgende procedure uit op elk knooppunt en werk elk knooppunt bij voordat u het volgende knooppunt uitschakelt:

                                                                                                                                                  1. Schakel de virtuele machine uit.

                                                                                                                                                  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  3. Klikken CD/DVD Drive 1 Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

                                                                                                                                                  4. Schakel het selectievakje Verbinding maken na inschakelen in.

                                                                                                                                                  5. Sla uw wijzigingen op en schakel de virtuele machine in.

                                                                                                                                                  4

                                                                                                                                                  Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus uitschakelen

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. Als de DNS-server van het knooppunt geen openbare DNS-namen kan oplossen, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie.

                                                                                                                                                  Als uw knooppunten openbare DNS-namen kunnen oplossen via interne DNS-servers, kunt u deze modus uitschakelen door de proxyverbindingstest op elk knooppunt opnieuw uit te voeren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Zorg ervoor dat uw interne DNS-servers openbare DNS-namen kunnen oplossen en dat uw knooppunten met hen kunnen communiceren.
                                                                                                                                                  1

                                                                                                                                                  Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/instellingen, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Overzicht (de standaardpagina).

                                                                                                                                                  Indien ingeschakeld, Geblokkeerde externe DNS omzetting is ingesteld op Ja .

                                                                                                                                                  3

                                                                                                                                                  Ga naar de pagina Vertrouwensarchief & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken en blijft deze modus actief. Anders moet de geblokkeerde externe DNS-resolutie worden ingesteld op nee nadat u het knooppunt opnieuw hebt opgestart en teruggaat naar de pagina Overzicht.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Herhaal de proxyverbindingstest op elk knooppunt in uw cluster voor hybride databeveiliging.

                                                                                                                                                  Een knooppunt verwijderen

                                                                                                                                                  Gebruik deze procedure om een knooppunt voor hybride databeveiliging uit de Webex-cloud te verwijderen. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en de virtuele machine uit te schakelen.

                                                                                                                                                  2

                                                                                                                                                  Verwijder het knooppunt:

                                                                                                                                                  1. Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources voor hybride databeveiliging weer te geven.

                                                                                                                                                  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

                                                                                                                                                  4. Klik op Knooppuntenlijst openen.

                                                                                                                                                  5. Selecteer op het tabblad Knooppunten het knooppunt dat u wilt verwijderen.

                                                                                                                                                  6. Klik op Acties > Knooppunt uitschrijven.

                                                                                                                                                  3

                                                                                                                                                  Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

                                                                                                                                                  Als u de VM niet verwijdert, moet u het ISO-configuratiebestand loskoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken om toegang te krijgen tot uw beveiligingsgegevens.

                                                                                                                                                  Noodherstel met behulp van het stand-bydatacenter

                                                                                                                                                  De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt voor het coderen van berichten en andere inhoud die in de Webex-cloud is opgeslagen. Voor elke gebruiker binnen de organisatie die is toegewezen aan hybride databeveiliging, worden nieuwe aanvragen voor het maken van sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de sleutels die zijn gemaakt aan gebruikers die bevoegd zijn om ze op te halen, bijvoorbeeld leden van een gespreksruimte.

                                                                                                                                                  Omdat het cluster de kritieke functie van het leveren van deze sleutels vervult, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden behouden. Verlies van de database met hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van inhoud van de klant. De volgende praktijken zijn verplicht om een dergelijk verlies te voorkomen:

                                                                                                                                                  Als door een calamiteit de HDS-implementatie in het primaire datacenter niet meer beschikbaar is, volgt u deze procedure om handmatig te failover te gaan naar het stand-bydatacenter.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe of verwijder de passiveMode configuratie om het knooppunt actief te maken. Het knooppunt kan het verkeer afhandelen zodra dit is geconfigureerd.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de knooppunten van het stand-bydatacenter zich niet in de passieve modus bevinden. 'KMS geconfigureerd in de passieve modus' mag niet worden weergegeven in de syslogs.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als het primaire datacenter na failover weer actief wordt, plaatst u het stand-bydatacenter opnieuw in de passieve modus door de stappen te volgen die worden beschreven in Setup Standby Data Center for Disaster Recovery.

                                                                                                                                                  (Optioneel) ISO loskoppelen na HDS-configuratie

                                                                                                                                                  De standaard HDS-configuratie wordt uitgevoerd met de ISO gemonteerd. Maar sommige klanten geven er de voorkeur aan ISO-bestanden niet continu gemonteerd achter te laten. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

                                                                                                                                                  U gebruikt de ISO-bestanden nog steeds om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de installatietool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra al uw knooppunten de configuratiewijzigingen hebben overgenomen, kunt u de ISO opnieuw loskoppelen met deze procedure.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

                                                                                                                                                  1

                                                                                                                                                  Sluit een van uw HDS-knooppunten af.

                                                                                                                                                  2

                                                                                                                                                  Selecteer het HDS-knooppunt in het vCenter-serverapparaat.

                                                                                                                                                  3

                                                                                                                                                  Kies Instellingen bewerken > CD/DVD-station en ISO-gegevensopslagbestand uitschakelen.

                                                                                                                                                  4

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 20 minuten geen alarmen zijn.

                                                                                                                                                  5

                                                                                                                                                  Herhaal dit om de beurt voor elk HDS-knooppunt.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Waarschuwingen en problemen weergeven

                                                                                                                                                  Een implementatie voor hybride databeveiliging wordt als onbeschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als het cluster zo traag werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

                                                                                                                                                  • Nieuwe ruimten kunnen niet worden gemaakt (kan geen nieuwe sleutels maken)

                                                                                                                                                  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

                                                                                                                                                    • Nieuwe gebruikers toegevoegd aan een ruimte (kan geen toetsen ophalen)

                                                                                                                                                    • Bestaande gebruikers in een ruimte met een nieuwe client (kan geen sleutels ophalen)

                                                                                                                                                  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

                                                                                                                                                  Het is belangrijk dat u uw cluster voor hybride databeveiliging goed bewaakt en alle waarschuwingen onmiddellijk aanpakt om onderbrekingen van de service te voorkomen.

                                                                                                                                                  Waarschuwingen

                                                                                                                                                  Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen aan de organisatiebeheerder weer en worden e-mails naar het geconfigureerde e-mailadres verzonden. De waarschuwingen behandelen veel voorkomende scenario's.

                                                                                                                                                  Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

                                                                                                                                                  Alarm

                                                                                                                                                  Actie

                                                                                                                                                  Toegang tot lokale database mislukt.

                                                                                                                                                  Controleer op databasefouten of problemen met het lokale netwerk.

                                                                                                                                                  Lokale databaseverbinding mislukt.

                                                                                                                                                  Controleer of de databaseserver beschikbaar is en of de juiste serviceaccountgegevens zijn gebruikt in de knooppuntconfiguratie.

                                                                                                                                                  Toegang tot cloudservice mislukt.

                                                                                                                                                  Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Externe verbindingsvereisten.

                                                                                                                                                  Cloudserviceregistratie vernieuwen.

                                                                                                                                                  Registratie bij cloudservices is geschrapt. De registratie wordt vernieuwd.

                                                                                                                                                  Registratie van cloudservice is verbroken.

                                                                                                                                                  Registratie voor cloudservices is beëindigd. De service wordt afgesloten.

                                                                                                                                                  Service nog niet geactiveerd.

                                                                                                                                                  Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie.

                                                                                                                                                  Het geconfigureerde domein komt niet overeen met het servercertificaat.

                                                                                                                                                  Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

                                                                                                                                                  De meest waarschijnlijke oorzaak is dat de CN van het certificaat onlangs is gewijzigd en nu verschilt van de CN die tijdens de eerste installatie is gebruikt.

                                                                                                                                                  Kan niet verifiëren bij cloudservices.

                                                                                                                                                  Controleer of de gegevens van het serviceaccount correct zijn en mogelijk verlopen.

                                                                                                                                                  Kan lokaal keystore-bestand niet openen.

                                                                                                                                                  Controleer op integriteit en nauwkeurigheid van het wachtwoord in het lokale keystore-bestand.

                                                                                                                                                  Lokaal servercertificaat is ongeldig.

                                                                                                                                                  Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

                                                                                                                                                  Kan statistieken niet plaatsen.

                                                                                                                                                  Controleer de toegang van het lokale netwerk tot externe cloudservices.

                                                                                                                                                  /media/configdrive/hds directory bestaat niet.

                                                                                                                                                  Controleer de ISO-montageconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om opnieuw op te starten en of het met succes wordt geïnstalleerd.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met hybride databeveiliging.
                                                                                                                                                  1

                                                                                                                                                  Controleer Control Hub op waarschuwingen en los alle items op die u daar vindt.

                                                                                                                                                  2

                                                                                                                                                  Controleer de uitvoer van de syslog-server voor activiteit vanuit de implementatie voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Neem contact op met de ondersteuning van Cisco.

                                                                                                                                                  Andere opmerkingen

                                                                                                                                                  Bekende problemen voor hybride databeveiliging

                                                                                                                                                  • Als u uw cluster voor hybride databeveiliging afsluit (door het te verwijderen in Control Hub of door alle knooppunten af te sluiten), uw configuratie-ISO-bestand verliest of toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst met personen die zijn gemaakt met toetsen van uw KMS. Dit geldt zowel voor proefperioden als voor productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en dringen er bij u op aan om uw HDS-services niet af te sluiten zodra ze actieve gebruikersaccounts afhandelen.

                                                                                                                                                  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een periode (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefperiode voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken tot er een time-out optreedt. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact opneemt voor coderingssleutels.

                                                                                                                                                    Hetzelfde gedrag treedt op wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle niet-proefgebruikers met bestaande ECDH-verbindingen met de vorige gegevensbeveiligingsservices blijven deze services gebruiken totdat er opnieuw wordt onderhandeld over de ECDH-verbinding (via time-out of door afmelden en weer aanmelden).

                                                                                                                                                  OpenSSL gebruiken om een PKCS12-bestand te genereren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS Setup Tool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten niet op de een of andere manier.

                                                                                                                                                  • Als u ervoor kiest om OpenSSL te gebruiken, bieden we deze procedure aan als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

                                                                                                                                                  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

                                                                                                                                                  • Maak een privésleutel aan.

                                                                                                                                                  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificeringsinstantie (CA).

                                                                                                                                                  1

                                                                                                                                                  Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Geef het certificaat weer als tekst en controleer de details.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Gebruik een teksteditor om een certificaatbundelbestand met de naam hdsnode-bundle.pem. Het bundelbestand moet het servercertificaat, eventuele tussentijdse CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Maak het .p12-bestand met de vriendelijke naam kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controleer de gegevens van het servercertificaat.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Voer een wachtwoord in om de privésleutel te coderen, zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de lijnen bevatten friendlyName: kms-private-key.

                                                                                                                                                    Voorbeeld:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Ga terug naar Vereisten voor hybride databeveiliging voltooien. U gebruikt de hdsnode.p12 bestand en het wachtwoord dat u ervoor hebt ingesteld, in Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

                                                                                                                                                  Verkeer tussen de HDS-knooppunten en de cloud

                                                                                                                                                  Verkeer voor verzameling uitgaande statistieken

                                                                                                                                                  De knooppunten voor hybride databeveiliging sturen bepaalde statistieken naar de Webex-cloud. Dit zijn onder andere systeemstatistieken voor de maximale heap, gebruikte heap, CPU-belasting en draadtelling; statistieken over synchrone en asynchrone threads; statistieken over waarschuwingen met een drempelwaarde voor coderingsverbindingen, latentie of de lengte van een aanvraagwachtrij; statistieken over de gegevensopslag; en coderingsverbindingsstatistieken. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (gescheiden van het verzoekkanaal).

                                                                                                                                                  Inkomend verkeer

                                                                                                                                                  De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer vanuit de Webex-cloud:

                                                                                                                                                  • Coderingsverzoeken van clients die door de coderingsservice worden gerouteerd

                                                                                                                                                  • Upgrades naar de knooppuntsoftware

                                                                                                                                                  Squid-proxy's configureren voor hybride databeveiliging

                                                                                                                                                  Websocket kan geen verbinding maken via de Squid Proxy

                                                                                                                                                  Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de instelling van websocket ( wss:) verbindingen die Hybride databeveiliging vereist. Deze secties bieden richtlijnen voor het configureren van verschillende versies van Squid om te negeren wss: verkeer voor de goede werking van de diensten.

                                                                                                                                                  Inktvis 4 en 5

                                                                                                                                                  Voeg de on_unsupported_protocol richtlijn tot squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Pijlinktvis 3.5.27

                                                                                                                                                  We hebben hybride databeveiliging met succes getest met de volgende regels toegevoegd aan squid.conf. Deze regels kunnen worden gewijzigd bij het ontwikkelen van functies en het bijwerken van de Webex-cloud.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Voorwoord

                                                                                                                                                  Nieuwe en gewijzigde informatie

                                                                                                                                                  Datum

                                                                                                                                                  Aangebrachte wijzigingen

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augustus 2023

                                                                                                                                                  23 mei 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker Desktop.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  U kunt het bestand met de privésleutel en de CSR opnieuw gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie.

                                                                                                                                                  30 april 2021

                                                                                                                                                  De VM-vereiste voor lokale harde schijfruimte is gewijzigd in 30 GB. Zie Vereisten voor virtuele host voor meer informatie.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  De HDS-installatietool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO maken voor de HDS-hosts voor meer informatie.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu worden uitgevoerd zonder een gemonteerd ISO-bestand. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Informatie toegevoegd over het hulpprogramma HDS-instellingen en proxy's om een configuratie-ISO voor de HDS-hosts te maken.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Bijgewerkte Installatiebestanden downloaden.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt.

                                                                                                                                                  14 augustus 2020

                                                                                                                                                  De configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces.

                                                                                                                                                  5 augustus 2020

                                                                                                                                                  Bijgewerkte Test uw implementatie voor hybride databeveiliging voor wijzigingen in logboekberichten.

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om het maximale aantal hosts te verwijderen.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Bijgewerkt Een knooppunt verwijderen voor wijzigingen in de gebruikersinterface van Control Hub.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  De ISO voor configuratie maken voor de HDS-hosts is bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk hebt ingesteld.

                                                                                                                                                  29 mei 2020

                                                                                                                                                  Bijgewerkt: maak een configuratie-ISO voor de HDS-hosts om aan te geven dat u ook TLS kunt gebruiken met SQL Server-databases, gebruikersgebruikerswijzigingen en andere verduidelijkingen.

                                                                                                                                                  5 mei 2020

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om de nieuwe vereisten voor ESXi 6.5 weer te geven.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met nieuwe Americas CI-hosts.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met informatie over regionale CI-hosts.

                                                                                                                                                  20 februari 2020Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met informatie over het nieuwe optionele scherm Geavanceerde instellingen in de HDS-installatietool.
                                                                                                                                                  4 februari 2020Proxyserververeisten bijgewerkt.
                                                                                                                                                  16 december 2019De vereiste voor geblokkeerde externe DNS-resolutiemodus is verduidelijkt om te werken in de vereisten voor de proxyserver.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende gedeelten:

                                                                                                                                                  8 november 2019

                                                                                                                                                  U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van erna.

                                                                                                                                                  De volgende gedeelten zijn dienovereenkomstig bijgewerkt:


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Standaard SQL-server toegevoegd aan vereisten voor databaseserver.

                                                                                                                                                  29 augustus 2019Bijlage Squid-proxy's configureren voor hybride databeveiliging toegevoegd met richtlijnen voor het configureren van squid-proxy's om websocketverkeer te negeren voor een goede werking.
                                                                                                                                                  20 augustus 2019

                                                                                                                                                  Er zijn gedeelten toegevoegd en bijgewerkt voor proxyondersteuning voor communicatie van knooppunten voor hybride databeveiliging naar de Webex-cloud.

                                                                                                                                                  Zie het Help-artikel Proxy-ondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie.

                                                                                                                                                  13 juni 2019Bijgewerkte Trial to Production Task Flow met een herinnering om de HdsTrialGroup groepsobject voordat een proefperiode wordt gestart als uw organisatie adreslijstsynchronisatie gebruikt.
                                                                                                                                                  6 maart 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • De hoeveelheid lokale harde schijfruimte per server die u opzij moet zetten bij het voorbereiden van de virtuele hosts die de knooppunten voor hybride databeveiliging worden, van 50 GB tot 20 GB, is gecorrigeerd om de grootte van de schijf weer te geven die door de OVA wordt gemaakt.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Knooppunten voor hybride databeveiliging ondersteunen nu gecodeerde verbindingen met PostgreSQL-databaseservers en gecodeerde logboekverbindingen met een TLS-compatibele syslog-server. Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met instructies.

                                                                                                                                                  • De bestemmings-URL's zijn verwijderd uit de tabel 'Vereisten voor internetconnectiviteit voor hybride gegevensbeveiligingsknooppunt VM's'. De tabel verwijst nu naar de lijst die wordt bijgehouden in de tabel 'Aanvullende URL's voor hybride services van Webex Teams' van Netwerkvereisten voor Webex Teams-services.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybride databeveiliging ondersteunt nu Microsoft SQL Server als database. SQL Server Always On (Always On Failover Clusters en Always on Availability Groups) wordt ondersteund door de JDBC-stuurprogramma's die worden gebruikt in hybride databeveiliging. Er is inhoud toegevoegd met betrekking tot implementatie met SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ondersteuning voor Microsoft SQL Server is alleen bedoeld voor nieuwe implementaties van Hybride databeveiliging. We ondersteunen momenteel geen migratie van gegevens van PostgreSQL naar Microsoft SQL Server in een bestaande implementatie.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 mei 2018

                                                                                                                                                  Gewijzigde terminologie om de rebranding van Cisco Spark weer te geven:

                                                                                                                                                  • Cisco Spark hybride databeveiliging is nu hybride databeveiliging.

                                                                                                                                                  • De Cisco Spark-app is nu de Webex-app.

                                                                                                                                                  • De Cisco Collaboraton Cloud is nu de Webex-cloud.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • In de tabel X.509-certificaatvereisten is gespecificeerd dat het certificaat geen jokercertificaat kan zijn en dat de KMS het CN-domein gebruikt, niet een domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Adreslijstsynchronisatie van de HdsTrialGroup is verduidelijkt.

                                                                                                                                                  • Vaste instructies voor het uploaden van het ISO-configuratiebestand voor montage op de VM-knooppunten.

                                                                                                                                                  18 augustus 2017

                                                                                                                                                  Voor het eerst gepubliceerd

                                                                                                                                                  Aan de slag met hybride databeveiliging

                                                                                                                                                  Overzicht van hybride databeveiliging

                                                                                                                                                  Vanaf dag één is gegevensbeveiliging de belangrijkste focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end inhoudsversleuteling, mogelijk gemaakt door Webex -app-clients die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografische sleutels die clients gebruiken om berichten en bestanden dynamisch te versleutelen en ontsleutelen.

                                                                                                                                                  Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride gegevensbeveiliging verplaatst het KMS en andere beveiligingsgerelateerde functies naar het bedrijfsgegevens , zodat niemand anders dan u de sleutels heeft tot uw versleutelde inhoud.

                                                                                                                                                  Architectuur beveiligingsgebied

                                                                                                                                                  De Webex-cloudarchitectuur scheidt verschillende soorten service in afzonderlijke realms of vertrouwensdomeinen, zoals hieronder wordt weergegeven.

                                                                                                                                                  Scheidingsgebieden (zonder hybride databeveiliging)

                                                                                                                                                  Laten we eerst eens kijken naar deze zuivere cloudcase, waarin Cisco alle functies in zijn clouddomeinen aanbiedt om meer inzicht te krijgen in hybride databeveiliging. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks kunnen worden gecorreleerd met hun persoonlijke informatie zoals e-mailadres, is logisch en fysiek gescheiden van de beveiligingsrealm in datacenter B. Beide zijn op hun beurt gescheiden van de realm waar versleutelde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

                                                                                                                                                  In dit diagram is de client de Webex-app die wordt uitgevoerd op de laptop van een gebruiker en is deze geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

                                                                                                                                                  1. De client maakt een veilige verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel om het bericht te versleutelen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

                                                                                                                                                  2. Het bericht wordt gecodeerd voordat het de client verlaat. De klant stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

                                                                                                                                                  3. Het gecodeerde bericht wordt verzonden naar de nalevingsservice voor nalevingscontroles.

                                                                                                                                                  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

                                                                                                                                                  Wanneer u hybride databeveiliging implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de realms van Cisco.

                                                                                                                                                  Samenwerken met andere organisaties

                                                                                                                                                  Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, routeert uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS te krijgen en stuurt de sleutel vervolgens terug naar uw gebruiker op het oorspronkelijke kanaal.

                                                                                                                                                  De KMS-service die wordt uitgevoerd in organisatie A valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw implementatie voor hybride databeveiliging.

                                                                                                                                                  Verwachtingen voor het implementeren van hybride databeveiliging

                                                                                                                                                  Een implementatie van hybride databeveiliging vereist een aanzienlijke klantbetrokkenheid en een bewustzijn van de risico's van het bezit van coderingssleutels.

                                                                                                                                                  Als u hybride databeveiliging wilt implementeren, moet u het volgende opgeven:

                                                                                                                                                  Volledig verlies van de configuratie-ISO die u maakt voor hybride databeveiliging of de database die u levert, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers inhoud van de ruimte en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar alleen nieuwe inhoud is zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

                                                                                                                                                  • De back-up en het herstel van de database en de configuratie-ISO beheren.

                                                                                                                                                  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing in de databaseschijf of een ramp met het datacenter.


                                                                                                                                                   

                                                                                                                                                  Er is geen mechanisme om sleutels na een HDS-implementatie terug naar de cloud te verplaatsen.

                                                                                                                                                  Installatieproces op hoog niveau

                                                                                                                                                  Dit document behandelt het instellen en beheren van een implementatie voor hybride databeveiliging:

                                                                                                                                                  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset gebruikers in de proefmodus en, zodra uw tests zijn voltooid, het verplaatsen naar productie. Hiermee wordt de hele organisatie geconverteerd om uw cluster voor hybride databeveiliging te gebruiken voor beveiligingsfuncties.

                                                                                                                                                    De installatie-, proef- en productiefasen worden in de volgende drie hoofdstukken in detail besproken.

                                                                                                                                                  • Uw implementatie voor hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch voortdurende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig ondersteuning van Cisco inschakelen. U kunt meldingen op het scherm gebruiken en op e-mail gebaseerde waarschuwingen instellen in Control Hub.

                                                                                                                                                  • Algemene waarschuwingen, stappen voor probleemoplossing en bekende problemen begrijpen: als u problemen ondervindt bij het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  In uw bedrijfsdatacenter implementeert u hybride databeveiliging als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

                                                                                                                                                  Tijdens het installatieproces bieden we u het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt monteert. Het cluster Hybride databeveiliging gebruikt de door u geleverde Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de details van de Syslogd- en databaseverbinding in de HDS-installatietool.)

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  Het minimumaantal knooppunten dat u in een cluster kunt hebben is twee. We raden ten minste drie aan en u kunt er maximaal vijf hebben. Als u meerdere knooppunten hebt, wordt de service niet onderbroken tijdens een software-upgrade of andere onderhoudsactiviteit op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

                                                                                                                                                  Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en logboekactiviteit op dezelfde syslog-server. De knooppunten zelf zijn stateloos, en behandelen belangrijke verzoeken in round-robin mode, zoals geregisseerd door de cloud.

                                                                                                                                                  Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt buiten gebruik wilt stellen, kunt u de registratie ongedaan maken en later opnieuw registreren, indien nodig.

                                                                                                                                                  We ondersteunen slechts één cluster per organisatie.

                                                                                                                                                  Proefmodus voor hybride databeveiliging

                                                                                                                                                  Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u dit eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.

                                                                                                                                                  Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de pilootgebruikers en alle gebruikers met wie ze tijdens de proefperiode interactie hebben gehad door nieuwe ruimten te maken, de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.

                                                                                                                                                  Als u ervan overtuigd bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilootgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, bijvoorbeeld om noodherstel uit te voeren, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilootgebruikers voor de nieuwe proefperiode instellen voordat u teruggaat naar de productiemodus. Of gebruikers op dit moment toegang tot gegevens behouden, hangt af van het feit of u back-ups van de sleutelgegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster hebt onderhouden.

                                                                                                                                                  Standby-datacenter voor noodherstel

                                                                                                                                                  Tijdens de implementatie stelt u een beveiligd stand-bydatacenter in. In het geval van een ramp met een datacenter kunt u uw implementatie handmatig overzetten naar het stand-bydatacenter.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Handmatige failover naar stand-bydatacenter

                                                                                                                                                  De databases van de actieve en stand-by datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is om de failover uit te voeren, tot een minimum wordt beperkt. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten zijn geregistreerd bij de organisatie, maar geen verkeer afhandelen. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van de HDS-software.


                                                                                                                                                   

                                                                                                                                                  De actieve knooppunten voor hybride databeveiliging moeten altijd in hetzelfde datacenter zijn als de actieve databaseserver.

                                                                                                                                                  Standby-datacenter instellen voor noodherstel

                                                                                                                                                  Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Het stand-bydatacenter moet de productieomgeving van VM's en een back-up PostgreSQL- of Microsoft SQL Server-database weerspiegelen. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. (Zie Standby Data Center for Disaster Recovery voor een overzicht van dit failovermodel.)

                                                                                                                                                  • Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database met actieve en passieve clusterknooppunten.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.


                                                                                                                                                   

                                                                                                                                                  Het ISO-bestand moet een kopie zijn van het originele ISO-bestand van het primaire datacenter waarop de volgende configuratieupdates moeten worden uitgevoerd.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar wordt er geen verkeer afgehandeld.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslogs om te controleren of de knooppunten zich in de passieve modus bevinden. U moet het bericht 'KMS geconfigureerd in passieve modus' in de syslogs kunnen bekijken.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Na het configureren passiveMode in het ISO-bestand en opslaan, kunt u een andere kopie van het ISO-bestand maken zonder de passiveMode configureren en opslaan op een veilige locatie. Deze kopie van het ISO-bestand zonder passiveMode geconfigureerd kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met behulp van het stand-bydatacenter voor de gedetailleerde failoverprocedure.

                                                                                                                                                  Proxyondersteuning

                                                                                                                                                  Hybride databeveiliging ondersteunt expliciete, transparante en niet-inspecterende proxy's. U kunt deze proxy's aan uw implementatie koppelen zodat u het verkeer van de onderneming naar de cloud kunt beveiligen en bewaken. U kunt een platformbeheerinterface op de knooppunten gebruiken voor certificaatbeheer en om de algehele verbindingsstatus te controleren nadat u de proxy op de knooppunten hebt ingesteld.

                                                                                                                                                  De knooppunten voor hybride databeveiliging ondersteunen de volgende proxyopties:

                                                                                                                                                  • Geen proxy: de standaardinstelling als u de HDS-knooppuntconfiguratie Vertrouwensarchief en proxy niet gebruikt om een proxy te integreren. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante niet-inspecterende proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante tunneling of inspectie van proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP- of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).

                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welk proxyserver- en verificatieschema u moet gebruiken. Als u een expliciete proxy wilt configureren, moet u de volgende informatie op elk knooppunt invoeren:

                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

                                                                                                                                                      • HTTP: geeft alle verzoeken weer die de client verzendt en beheert deze.

                                                                                                                                                      • HTTPS: biedt een kanaal naar de server. De client ontvangt het servercertificaat en valideert het.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar als u HTTPS selecteert als proxyprotocol.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                  Voorbeeld van knooppunten voor hybride databeveiliging en proxy

                                                                                                                                                  In dit diagram ziet u een voorbeeldverbinding tussen hybride databeveiliging, netwerk en een proxy. Voor de opties voor transparante inspectie en HTTPS expliciete inspectie proxy moet hetzelfde hoofdcertificaat worden geïnstalleerd op de proxy en op de knooppunten voor hybride databeveiliging.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus (expliciete proxyconfiguraties)

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. In implementaties met expliciete proxyconfiguraties die geen externe DNS-resolutie voor interne clients toestaan, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie als het knooppunt de DNS-servers niet kan opvragen. In deze modus kunnen knooppuntregistratie en andere proxyverbindingstests worden voortgezet.

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  Vereisten voor hybride databeveiliging

                                                                                                                                                  Vereisten voor Cisco Webex-licenties

                                                                                                                                                  Hybride databeveiliging implementeren:

                                                                                                                                                  Vereisten voor Docker Desktop

                                                                                                                                                  Voordat u uw HDS-knooppunten installeert, hebt u Docker Desktop nodig om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie heeft mogelijk een betaald abonnement voor Docker Desktop nodig. Voor meer informatie raadpleegt u het Docker-blogbericht ' Docker werkt onze productabonnementen bij en verlengt deze ".

                                                                                                                                                  Vereisten voor X.509-certificaten

                                                                                                                                                  De certificaatketen moet aan de volgende vereisten voldoen:

                                                                                                                                                  Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

                                                                                                                                                  Vereiste

                                                                                                                                                  Details

                                                                                                                                                  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

                                                                                                                                                  Standaard vertrouwen we de CA’s in de Mozilla lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Bevat een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

                                                                                                                                                  • Is geen jokercertificaat

                                                                                                                                                  De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die uw organisatie weergeeft, bijvoorbeeld: hds.company.com.

                                                                                                                                                  De algemene naam mag geen * (jokerteken) bevatten.

                                                                                                                                                  De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren bij clients van de Webex-app. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  Zodra u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat kan worden toegepast op zowel de proefperiode- als productie-implementaties.

                                                                                                                                                  • Niet-SHA1 handtekening

                                                                                                                                                  De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

                                                                                                                                                  • Geformatteerd als een met een wachtwoord beveiligd PKCS #12-bestand

                                                                                                                                                  • Gebruik de vriendelijke naam van kms-private-key om het certificaat, de privésleutel en eventuele tussenliggende certificaten te taggen die moeten worden geüpload.

                                                                                                                                                  U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

                                                                                                                                                  U moet het wachtwoord invoeren wanneer u de HDS-installatietool uitvoert.

                                                                                                                                                  De KMS-software dwingt sleutelgebruik of uitgebreide beperkingen voor sleutelgebruik niet af. Sommige certificeringsinstanties vereisen dat uitgebreide belangrijke gebruiksbeperkingen worden toegepast op elk certificaat, zoals serververificatie. U mag de serververificatie of andere instellingen gebruiken.

                                                                                                                                                  Vereisten voor virtuele host

                                                                                                                                                  De virtuele hosts die u instelt als knooppunten voor hybride databeveiliging in uw cluster, hebben de volgende vereisten:

                                                                                                                                                  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich in hetzelfde beveiligde datacenter bevinden

                                                                                                                                                  • VMware ESXi 6.5 (of hoger) geïnstalleerd en actief.


                                                                                                                                                     

                                                                                                                                                    U moet upgraden als u een eerdere versie van ESXi hebt.

                                                                                                                                                  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

                                                                                                                                                  Vereisten voor databaseserver


                                                                                                                                                   

                                                                                                                                                  Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. Wanneer de HDS-toepassingen zijn geïnstalleerd, maakt u het databaseschema.

                                                                                                                                                  Er zijn twee opties voor databaseserver. De vereisten voor elk zijn als volgt:

                                                                                                                                                  Tabel 2. Vereisten databaseserver per type database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

                                                                                                                                                  • SQL Server 2016, 2017 of 2019 (Enterprise of Standard) geïnstalleerd.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL JDBC-stuurprogramma van SQL Server 4.6

                                                                                                                                                  Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover Cluster Instances en Always On availability groups).

                                                                                                                                                  Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

                                                                                                                                                  Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

                                                                                                                                                  • De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

                                                                                                                                                  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees-/schrijftoegang hebben tot de database.

                                                                                                                                                  • De DNS-servers die u aan HDS-knooppunten levert, moeten uw Key Distribution Center (KDC) kunnen oplossen.

                                                                                                                                                  • U kunt de HDS-database-instantie op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een servicenaam registreren voor Kerberos-verbindingen.

                                                                                                                                                    De HDS-installatietool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens van uw ISO-configuratie om de SPN te construeren wanneer ze toegang aanvragen met Kerberos-verificatie.

                                                                                                                                                  Externe connectiviteitsvereisten

                                                                                                                                                  Configureer uw firewall om de volgende verbinding voor de HDS-toepassingen toe te staan:

                                                                                                                                                  App

                                                                                                                                                  Protocol

                                                                                                                                                  Poort

                                                                                                                                                  Richting van app

                                                                                                                                                  Bestemming

                                                                                                                                                  Knooppunten voor hybride databeveiliging

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS en WSS

                                                                                                                                                  • Webex-servers:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • Andere URL's die worden vermeld voor beveiliging van hybride gegevens in de tabel Aanvullende URL's voor hybride Webex-services met netwerkvereisten voor Webex-services

                                                                                                                                                  Hulpprogramma voor HDS-instellingen

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die inkomend zijn naar de knooppunten voor hybride databeveiliging, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients voor beheerdoeleinden toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22.

                                                                                                                                                  De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:

                                                                                                                                                  Regio

                                                                                                                                                  Host-URL's van Common Identity

                                                                                                                                                  Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europese Unie

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Vereisten voor proxyserver

                                                                                                                                                  • We ondersteunen officieel de volgende proxyoplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride databeveiliging.

                                                                                                                                                    • Transparante proxy: Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Expliciete proxy: Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de oprichting van websocket verstoren (wss:) verbindingen. Zie Squid-proxy's configureren voor hybride databeveiliging voor meer informatie over dit probleem.

                                                                                                                                                  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

                                                                                                                                                    • Geen verificatie met HTTP of HTTPS

                                                                                                                                                    • Basisverificatie met HTTP of HTTPS

                                                                                                                                                    • Digestverificatie met alleen HTTPS

                                                                                                                                                  • Voor een transparante inspecterende proxy of een expliciete HTTPS-proxy moet u een kopie hebben van het hoofdcertificaat van de proxy. De implementatie-instructies in deze handleiding vertellen u hoe u de kopie kunt uploaden naar de vertrouwensarchieven van de knooppunten voor hybride databeveiliging.

                                                                                                                                                  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 te dwingen via de proxy te routeren.

                                                                                                                                                  • Proxy's die webverkeer inspecteren, kunnen de verbindingen met de websocket verstoren. Indien dit probleem zich voordoet, verkeer overslaan (niet inspecteren) naar wbx2.com en ciscospark.com zal het probleem oplossen.

                                                                                                                                                  Voldoen aan de vereisten voor hybride databeveiliging

                                                                                                                                                  Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
                                                                                                                                                  1

                                                                                                                                                  Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en ontvang de referenties van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

                                                                                                                                                  2

                                                                                                                                                  Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  3

                                                                                                                                                  Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt ten minste twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter zijn geplaatst en voldoen aan de vereisten in Vereisten voor virtuele host.

                                                                                                                                                  4

                                                                                                                                                  Bereid de databaseserver voor die zal fungeren als de belangrijkste gegevensopslag voor het cluster, overeenkomstig de vereisten voor de databaseserver. De databaseserver moet samen met de virtuele hosts in het beveiligde datacenter worden geplaatst.

                                                                                                                                                  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik de standaarddatabase niet. De HDS-toepassingen maken het databaseschema wanneer ze zijn geïnstalleerd.)

                                                                                                                                                  2. Verzamel de gegevens die de knooppunten gebruiken om met de databaseserver te communiceren:

                                                                                                                                                    • de hostnaam of het IP-adres (host) en de poort

                                                                                                                                                    • de naam van de database (dbname) voor key storage

                                                                                                                                                    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de database met sleutelopslag

                                                                                                                                                  5

                                                                                                                                                  Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben.

                                                                                                                                                  6

                                                                                                                                                  Stel een Syslog-host in om logboeken te verzamelen van de knooppunten in het cluster. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Maak een veilig back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.


                                                                                                                                                   

                                                                                                                                                  Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die worden gebruikt voor codering en decodering van inhoud, leidt het niet onderhouden van een operationele implementatie tot het ONHERSTELBARE VERLIES van die inhoud.

                                                                                                                                                  Clients van de Webex-app brengen hun sleutels in de cache, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen niet te voorkomen zijn, kunnen ze worden hersteld. Volledig verlies (geen back-ups beschikbaar) van de database of het ISO-configuratiebestand leidt echter tot niet-herstelbare klantgegevens. Van de beheerders van de knooppunten voor hybride databeveiliging wordt verwacht dat ze regelmatig back-ups van de database en het configuratie-ISO-bestand onderhouden, en dat ze bereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als er een catastrofale storing optreedt.

                                                                                                                                                  8

                                                                                                                                                  Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw hybride databeveiligingsknooppunten mogelijk maakt, zoals beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  9

                                                                                                                                                  Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft tot het besturingssysteem op http://127.0.0.1:8080.

                                                                                                                                                  U gebruikt het Docker-exemplaar om de HDS-installatietool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratie-informatie op voor alle knooppunten voor hybride databeveiliging. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker Desktop voor meer informatie.

                                                                                                                                                  Om de HDS-setuptool te installeren en uit te voeren, moet de lokale machine de connectiviteit hebben die wordt beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  10

                                                                                                                                                  Als u een proxy integreert met hybride databeveiliging, moet u ervoor zorgen dat deze voldoet aan de vereisten voor de proxyserver.

                                                                                                                                                  11

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, maakt u een groep in Active Directory met de naam HdsTrialGroup en pilootgebruikers toevoegen. De proefgroep kan maximaal 250 gebruikers hebben. Het HdsTrialGroup object moet worden gesynchroniseerd met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Als u een groepsobject wilt synchroniseren, selecteert u het in de van de directoryconnector Configuratie > menu Objectselectie. (Zie de Implementatiehandleiding voor Cisco Directoryconnector voor gedetailleerde instructies.)


                                                                                                                                                   

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Houd er bij het selecteren van pilootgebruikers rekening mee dat als u besluit de implementatie voor hybride databeveiliging permanent te deactiveren, alle gebruikers geen toegang meer hebben tot inhoud in de ruimten die door de pilootgebruikers zijn gemaakt. Het verlies wordt duidelijk zodra de apps van gebruikers hun in de cache opgeslagen kopieën van de inhoud vernieuwen.

                                                                                                                                                  Een cluster voor hybride databeveiliging instellen

                                                                                                                                                  Taakstroom implementatie hybride databeveiliging

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  1

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  Download het OVA-bestand naar uw lokale computer voor later gebruik.

                                                                                                                                                  2

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Gebruik de HDS-installatietool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Maak een virtuele machine vanuit het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  4

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd ten tijde van de OVA-implementatie.

                                                                                                                                                  5

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  6

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u indien nodig het proxycertificaat toe aan het vertrouwensarchief.

                                                                                                                                                  7

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Registreer de VM bij de Cisco Webex-cloud als een knooppunt voor hybride databeveiliging.

                                                                                                                                                  8

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Voltooi de clusterinstelling.

                                                                                                                                                  9

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)

                                                                                                                                                  Totdat u een proefperiode start, genereren uw knooppunten een alarm dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). Je gebruikt dit bestand later in het installatieproces.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en klik vervolgens op Services.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik vervolgens op Instellen.

                                                                                                                                                  Als de kaart is uitgeschakeld of u deze niet ziet, neemt u contact op met uw accountteam of uw partnerorganisatie. Geef uw accountnummer en vraag of u uw organisatie wilt inschakelen voor hybride databeveiliging. Als u het accountnummer wilt vinden, klikt u op het tandwiel rechtsboven naast de naam van uw organisatie.


                                                                                                                                                   

                                                                                                                                                  U kunt de OVA ook op elk gewenst moment downloaden via het gedeelte Help op de pagina Instellingen. Klik op de kaart Hybride databeveiliging op Instellingen bewerken om de pagina te openen. Klik vervolgens op Hybride databeveiligingssoftware downloaden in het gedeelte Help.


                                                                                                                                                   

                                                                                                                                                  Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de nieuwste versie van het OVA-bestand downloadt.

                                                                                                                                                  3

                                                                                                                                                  Selecteer Nee om aan te geven dat u het knooppunt nog niet hebt ingesteld en klik vervolgens op Volgende.

                                                                                                                                                  Het OVA-bestand begint automatisch te downloaden. Sla het bestand op een locatie op uw computer op.
                                                                                                                                                  4

                                                                                                                                                  U kunt ook op Implementatiehandleiding openen klikken om te controleren of er een latere versie van deze handleiding beschikbaar is.

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Het installatieproces voor hybride databeveiliging maakt een ISO-bestand. Vervolgens gebruikt u de ISO om uw host voor hybride databeveiliging te configureren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5 opent. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de nieuwste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals:

                                                                                                                                                    • Aanmeldgegevens database

                                                                                                                                                    • Certificaatupdates

                                                                                                                                                    • Wijzigingen in het autorisatiebeleid

                                                                                                                                                  • Als u databaseverbindingen wilt versleutelen, stelt u uw PostgreSQL- of SQL Server-implementatie voor TLS in.

                                                                                                                                                  1

                                                                                                                                                  Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Met deze stap worden eerdere afbeeldingen van het HDS-configuratieprogramma opgeschoond. Als er geen eerdere afbeeldingen zijn, wordt een fout geretourneerd die u kunt negeren.

                                                                                                                                                  2

                                                                                                                                                  Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download de nieuwste stabiele installatiekopie voor uw omgeving:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                  • In normale omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  Gebruik een webbrowser om naar de localhost te gaan http://127.0.0.1:8080 en voer de gebruikersnaam van de klantbeheerder voor Control Hub in de prompt in.

                                                                                                                                                  De tool gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Het hulpprogramma geeft vervolgens de standaard aanmeldingsprompt weer.

                                                                                                                                                  7

                                                                                                                                                  Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de Control Hub-klantbeheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

                                                                                                                                                  8

                                                                                                                                                  Klik op de overzichtspagina van de installatietool op Aan de slag.

                                                                                                                                                  9

                                                                                                                                                  Op de pagina ISO Import hebt u de volgende opties:

                                                                                                                                                  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
                                                                                                                                                  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de browse en uploadt u het.
                                                                                                                                                  10

                                                                                                                                                  Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  • Als u nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat OK is, klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat is verlopen of als u het wilt vervangen, selecteert u Nee voor Doorgaan met gebruik van HDS-certificaatketen en privésleutel uit vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
                                                                                                                                                  11

                                                                                                                                                  Voer het databaseadres en het account voor HDS in om toegang te krijgen tot uw belangrijke gegevensopslag:

                                                                                                                                                  1. Selecteer uw Database Type (PostgreSQL of Microsoft SQL Server).

                                                                                                                                                    Als u Microsoft SQL Server kiest, krijgt u een veld Verificatietype.

                                                                                                                                                  2. (Alleen Microsoft SQL Server) Selecteer uw verificatietype:

                                                                                                                                                    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam.

                                                                                                                                                    • Windows-verificatie: U hebt een Windows-account in de indeling nodig username@DOMAIN in het veld Gebruikersnaam.

                                                                                                                                                  3. Voer het adres van de databaseserver in het formulier in <hostname>:<port> of <IP-address>:<port>.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    dbhost.example.org:1433 of 198.51.100.17:1433

                                                                                                                                                    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

                                                                                                                                                    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

                                                                                                                                                  4. Voer de databasenaam in.

                                                                                                                                                  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten in de database voor sleutelopslag.

                                                                                                                                                  12

                                                                                                                                                  Selecteer een TLS-databaseverbindingsmodus:

                                                                                                                                                  Mode

                                                                                                                                                  Beschrijving

                                                                                                                                                  Voorkeur voor TLS (standaardoptie)

                                                                                                                                                  Voor HDS-knooppunten is geen TLS vereist om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

                                                                                                                                                  TLS vereisen

                                                                                                                                                  HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  TLS vereisen en certificaatondertekenaar verifiëren


                                                                                                                                                   

                                                                                                                                                  Deze modus is niet van toepassing op SQL Server-databases.

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik de hoofdcertificaat van database control onder de vervolgkeuzelijst om het hoofdcertificaat voor deze optie te uploaden.

                                                                                                                                                  TLS vereisen en certificaatondertekenaar en hostnaam verifiëren

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databasehost en -poort. De namen moeten exact overeenkomen, anders verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik de hoofdcertificaat van database control onder de vervolgkeuzelijst om het hoofdcertificaat voor deze optie te uploaden.

                                                                                                                                                  Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-installatietool de TLS-verbinding met de databaseserver. Het hulpprogramma verifieert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, geeft het hulpprogramma een foutmelding waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en wilt doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de HDS-installatietool niet met succes kan worden getest.)

                                                                                                                                                  13

                                                                                                                                                  Configureer uw Syslogd-server op de pagina Systeemlogboeken:

                                                                                                                                                  1. Voer de URL van de syslog-server in.

                                                                                                                                                    Als de server niet DNS-oplosbaar is vanuit de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij Syslogd-host 10.92.43.23 op UDP-poort 514.
                                                                                                                                                  2. Als u uw server instelt om TLS-codering te gebruiken, controleert u Is uw syslog-server geconfigureerd voor SSL-codering?.

                                                                                                                                                    Als u dit selectievakje inschakelt, moet u een TCP-URL invoeren, zoals tcp://10.92.43.23:514.

                                                                                                                                                  3. Kies in de vervolgkeuzelijst Beëindiging syslog-record kiezen de juiste instelling voor uw ISO-bestand: Kies of Newline wordt gebruikt voor Graylog en Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Selecteer deze keuze voor Graylog en Rsyslog TCP.

                                                                                                                                                  4. Klik op Doorgaan.

                                                                                                                                                  14

                                                                                                                                                  (Optioneel) U kunt de standaardwaarde voor bepaalde parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u wilt wijzigen:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik op Doorgaan op het scherm Wachtwoord serviceaccounts opnieuw instellen.

                                                                                                                                                  Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u wilt deze opnieuw instellen om eerdere ISO-bestanden ongeldig te maken.

                                                                                                                                                  16

                                                                                                                                                  Klik op ISO-bestand downloaden. Sla het bestand op een gemakkelijk te vinden locatie op.

                                                                                                                                                  17

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem.

                                                                                                                                                  Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  18

                                                                                                                                                  Als u het installatieprogramma wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten voor herstel te maken of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het herstellen van de sleutels uit uw PostgreSQL- of Microsoft SQL Server-database is niet mogelijk.


                                                                                                                                                   

                                                                                                                                                  We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze kwijtraakt.

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Gebruik deze procedure om een virtuele machine te maken vanuit het OVA-bestand.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

                                                                                                                                                  2

                                                                                                                                                  Selecteer File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

                                                                                                                                                  4

                                                                                                                                                  Op de Selecteer een naam en map pagina, voer een in Naam virtuele machine voor het knooppunt (bijvoorbeeld 'HDS_Node_1') kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Op de Een computerbron selecteren pagina, kies de bestemming compute resource en klik vervolgens op Volgende.

                                                                                                                                                  Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloondetails weergegeven.

                                                                                                                                                  6

                                                                                                                                                  Controleer de sjabloondetails en klik op Volgende.

                                                                                                                                                  7

                                                                                                                                                  Als u wordt gevraagd de resourceconfiguratie te kiezen op de Configuratie pagina, klik op 4 CPU en klik vervolgens op Volgende.

                                                                                                                                                  8

                                                                                                                                                  Op de Selecteer opslag pagina, klik op Volgende om de standaard schijfindeling en het VM-opslagbeleid te accepteren.

                                                                                                                                                  9

                                                                                                                                                  Op de Selecteer netwerken-pagina, kies de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

                                                                                                                                                  10

                                                                                                                                                  Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen:

                                                                                                                                                  • Hostnaam: voer de FQDN (hostnaam en domein) of een hostnaam met één woord in voor het knooppunt.

                                                                                                                                                     
                                                                                                                                                    • U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                    • Als u een succesvolle registratie bij de cloud wilt garanderen, gebruikt u alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld. Kapitalisatie wordt momenteel niet ondersteund.

                                                                                                                                                    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

                                                                                                                                                  • IP-adres— Voer het IP-adres in voor de interne interface van het knooppunt.

                                                                                                                                                     

                                                                                                                                                    Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  • Masker: voer het adres van het subnetmasker in de punt-decimale notatie in. Bijvoorbeeld 255.255.255.0.
                                                                                                                                                  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat als toegangspunt dient voor een ander netwerk.
                                                                                                                                                  • DNS-servers: voer een door komma's gescheiden lijst met DNS-servers in, die domeinnamen vertalen naar numerieke IP-adressen. (Maximaal 4 DNS-vermeldingen zijn toegestaan.)
                                                                                                                                                  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die in uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
                                                                                                                                                  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster bereikbaar zijn vanaf clients in uw netwerk voor administratieve doeleinden.

                                                                                                                                                  Indien gewenst kunt u de configuratie van de netwerkinstellingen overslaan en de stappen volgen in De hybride databeveiliging VM instellen om de instellingen vanaf de knooppuntconsole te configureren.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  11

                                                                                                                                                  Klik met de rechtermuisknop op het knooppunt VM en kies Voeding > Voeding aan.

                                                                                                                                                  De software voor hybride databeveiliging is geïnstalleerd als gast op de VM-host. U kunt zich nu aanmelden bij de console en het knooppunt configureren.

                                                                                                                                                  Tips voor het oplossen van problemen

                                                                                                                                                  U kunt een vertraging van een paar minuten ervaren voordat de knooppuntcontainers naar boven komen. Er verschijnt een brugfirewallbericht op de console tijdens de eerste keer opstarten, tijdens welke u zich niet kunt aanmelden.

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

                                                                                                                                                  1

                                                                                                                                                  Selecteer in de VMware vSphere-client uw knooppunt voor hybride databeveiliging VM en selecteer het tabblad Console.

                                                                                                                                                  De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldprompt niet wordt weergegeven, drukt u op Enter.
                                                                                                                                                  2

                                                                                                                                                  Gebruik de volgende standaardaanmelding en het volgende wachtwoord om u aan te melden en de aanmeldgegevens te wijzigen:

                                                                                                                                                  1. Aanmelden: admin

                                                                                                                                                  2. Wachtwoord: cisco

                                                                                                                                                  Aangezien u zich voor de eerste keer aanmeldt bij uw VM, moet u het beheerderswachtwoord wijzigen.

                                                                                                                                                  3

                                                                                                                                                  Als u de netwerkinstellingen al hebt geconfigureerd in Install the HDS Host OVA, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken.

                                                                                                                                                  4

                                                                                                                                                  Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  5

                                                                                                                                                  (Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om aan uw netwerkbeleid te voldoen.

                                                                                                                                                  U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                  6

                                                                                                                                                  Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen van kracht worden.

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Omdat het ISO-bestand de hoofdsleutel bevat, mag het alleen worden blootgesteld op een 'need to know'-basis, voor toegang door de VM's voor hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen die beheerders toegang hebben tot de gegevensopslag.

                                                                                                                                                  1

                                                                                                                                                  Upload het ISO-bestand vanaf uw computer:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

                                                                                                                                                  2. Klik in de hardwarelijst van het tabblad Configuratie op Opslag.

                                                                                                                                                  3. Klik in de lijst Datastores met de rechtermuisknop op de datastore voor uw VM's en klik op Browse Datastore.

                                                                                                                                                  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

                                                                                                                                                  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

                                                                                                                                                  6. Klik op Ja om de waarschuwing voor de upload-/downloadbewerking te accepteren en sluit het dialoogvenster Gegevensopslag.

                                                                                                                                                  2

                                                                                                                                                  Koppel het ISO-bestand:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  2. Klik op OK om de waarschuwing voor beperkte bewerkingsopties te accepteren.

                                                                                                                                                  3. Klikken CD/DVD Drive 1, selecteer de optie om te koppelen vanuit een ISO-bestand voor de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

                                                                                                                                                  4. Controleer Connected en Connect bij ingeschakeld contact.

                                                                                                                                                  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als uw IT-beleid dit vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride databeveiliging. Als u een transparante inspecterende proxy of een expliciete HTTPS-proxy kiest, kunt u de interface van het knooppunt gebruiken om het hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding controleren vanuit de interface en mogelijke problemen oplossen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  1

                                                                                                                                                  Voer de URL voor het instellen van het HDS-knooppunt in https://[HDS Node IP or FQDN]/setup voer in een webbrowser de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Trust Store & Proxy en kies een optie:

                                                                                                                                                  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante niet-inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om met een niet-inspecterende proxy te werken. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTPS-configuratiewijzigingen nodig voor de implementatie van hybride databeveiliging. De HDS-knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).
                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de client (HDS-knooppunten) aan welke proxyserver moet worden gebruikt. Deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: kies http (bekijkt en beheert alle aanvragen die van de client worden ontvangen) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar voor HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                  Volg de volgende stappen voor een transparante inspecterende proxy, een expliciete HTTP-proxy met basisverificatie of een expliciete HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik op Upload a Root Certificate or End Entity Certificate (Een hoofdcertificaat uploaden of een entiteitscertificaat beëindigen) en navigeer vervolgens naar een hoofdcertificaat voor de proxy kiezen.

                                                                                                                                                  Het certificaat is geüpload maar nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijl van de chevron bij de naam van de certificaatverstrekker voor meer informatie of klik op Verwijderen als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

                                                                                                                                                  Als de verbindingstest mislukt, ziet u een foutbericht met de reden en hoe u het probleem kunt oplossen.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken. Deze voorwaarde wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de modus Geblokkeerde externe DNS-resolutie. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u Geblokkeerde externe DNS-resolutiemodus uitschakelen.

                                                                                                                                                  5

                                                                                                                                                  Nadat de verbindingstest is verlopen en de expliciete proxy alleen is ingesteld op https, schakelt u de schakelaar in op Alle poort 443/444-https-verzoeken van dit knooppunt routeren via de expliciete proxy. Deze instelling heeft 15 seconden nodig om van kracht te worden.

                                                                                                                                                  6

                                                                                                                                                  Klik op Alle certificaten installeren in de Trust Store (wordt weergegeven voor een expliciete HTTPS-proxy of een transparante inspecterende proxy) of Opnieuw opstarten (wordt weergegeven voor een expliciete HTTP-proxy), lees de prompt en klik vervolgens op Installeren als u klaar bent.

                                                                                                                                                  Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

                                                                                                                                                  7

                                                                                                                                                  Nadat het knooppunt opnieuw is opgestart, meldt u zich indien nodig opnieuw aan en opent u de pagina Overzicht om de connectiviteitscontroles te controleren en ervoor te zorgen dat ze allemaal groen zijn.

                                                                                                                                                  Met de proxyverbindingscontrole wordt alleen een subdomein van webex.com getest. Als er verbindingsproblemen zijn, is een algemeen probleem dat sommige van de clouddomeinen die in de installatie-instructies worden vermeld, worden geblokkeerd bij de proxy.

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Voor deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in de Hybride databeveiliging VM instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

                                                                                                                                                  Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd om redundantie te bieden.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Selecteer Services in het menu links op het scherm.

                                                                                                                                                  3

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellen.

                                                                                                                                                  De pagina Knooppunt voor hybride databeveiliging registreren wordt weergegeven.
                                                                                                                                                  4

                                                                                                                                                  Selecteer Ja om aan te geven dat u het knooppunt hebt ingesteld en klaar bent om het te registreren. Klik vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Voer in het eerste veld een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

                                                                                                                                                  We raden u aan een cluster een naam te geven op basis van waar de knooppunten van het cluster zich geografisch bevinden. Voorbeelden: "San Francisco" of "New York" of "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                  Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein dat u hebt gebruikt in De VM voor hybride databeveiliging instellen.

                                                                                                                                                  Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik op Ga naar knooppunt.

                                                                                                                                                  8

                                                                                                                                                  Klik in het waarschuwingsbericht op Doorgaan.

                                                                                                                                                  Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  9

                                                                                                                                                  Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                  Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  10

                                                                                                                                                  Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Op de pagina Hybride databeveiliging wordt het nieuwe cluster weergegeven met het knooppunt dat u hebt geregistreerd. Het knooppunt downloadt automatisch de nieuwste software vanuit de cloud.

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Als u extra knooppunten aan uw cluster wilt toevoegen, maakt u gewoon extra VM's en monteert u hetzelfde configuratie-ISO-bestand en registreert u het knooppunt. We raden u aan ten minste 3 knooppunten te hebben.

                                                                                                                                                   

                                                                                                                                                  Op dit moment zijn de back-up-VM's die u hebt gemaakt in Voldoen aan de vereisten voor hybride databeveiliging stand-byhosts die alleen worden gebruikt in het geval van noodherstel. Ze zijn tot die tijd niet geregistreerd bij het systeem. Zie Noodherstel met behulp van het stand-bydatacenter voor meer informatie.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Maak een nieuwe virtuele machine vanuit de OVA en herhaal de stappen in Installeer de HDS-host-OVA.

                                                                                                                                                  2

                                                                                                                                                  Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De hybride databeveiliging instellen.

                                                                                                                                                  3

                                                                                                                                                  Herhaal op de nieuwe VM de stappen in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Configureer het HDS-knooppunt voor proxyintegratie indien nodig voor het nieuwe knooppunt.

                                                                                                                                                  5

                                                                                                                                                  Registreer het knooppunt.

                                                                                                                                                  1. Selecteer in https://admin.webex.comServices in het menu links op het scherm.

                                                                                                                                                  2. Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik op Resources.

                                                                                                                                                    De pagina Resources voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3. Klik op Resource toevoegen.

                                                                                                                                                  4. Selecteer in het eerste veld de naam van uw bestaande cluster.

                                                                                                                                                  5. Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                    Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex-cloud.
                                                                                                                                                  6. Klik op Ga naar knooppunt.

                                                                                                                                                    Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u machtigingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Uw knooppunt is geregistreerd. Houd er rekening mee dat totdat u een proefperiode start, uw knooppunten een alarm genereren dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)
                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie

                                                                                                                                                  Doorstroom proefperiode naar productietaak

                                                                                                                                                  Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers toevoegen en deze gaan gebruiken om uw implementatie te testen en te verifiëren ter voorbereiding op de overgang naar productie.

                                                                                                                                                  1

                                                                                                                                                  Indien van toepassing, synchroniseer de HdsTrialGroup groepsobject.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  2

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd.

                                                                                                                                                  3

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Controleer of belangrijke aanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Controleer de status en stel e-mailmeldingen in voor alarmen.

                                                                                                                                                  5

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  6

                                                                                                                                                  Voltooi de onderzoeksfase met een van de volgende acties:

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Proefperiode starten.

                                                                                                                                                  De servicestatus verandert in de proefmodus.
                                                                                                                                                  4

                                                                                                                                                  Klik op Gebruikers toevoegen en voer het e-mailadres van een of meer gebruikers in om uw knooppunten voor hybride databeveiliging te gebruiken voor codering- en indexeringsservices.

                                                                                                                                                  (Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory om de testgroep te beheren, HdsTrialGroup.)

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging te testen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Stel uw implementatie voor hybride databeveiliging in.

                                                                                                                                                  • Activeer de proefperiode en voeg verschillende proefgebruikers toe.

                                                                                                                                                  • Zorg ervoor dat u toegang hebt tot de syslog om te controleren of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilootgebruikers en maak vervolgens een ruimte en nodig ten minste één pilootgebruiker en één niet-pilootgebruiker uit.


                                                                                                                                                   

                                                                                                                                                  Als u de implementatie van hybride databeveiliging deactiveert, is inhoud in ruimten die pilootgebruikers maken niet meer toegankelijk zodra de in de client opgeslagen kopieën van de coderingssleutels zijn vervangen.

                                                                                                                                                  2

                                                                                                                                                  Verzend berichten naar de nieuwe ruimte.

                                                                                                                                                  3

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de sleutelaanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1. Als u wilt controleren of een gebruiker eerst een veilig kanaal naar de KMS heeft ingesteld, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden, zoals de volgende (identificatiegegevens ingekort voor leesbaarheid):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om te controleren of een gebruiker een bestaande sleutel van het KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Om te controleren of een gebruiker een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Als u wilt controleren of een gebruiker die het maken van een nieuw KMS Resource Object (KRO) aanvraagt wanneer een ruimte of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Een statusindicator in Control Hub geeft aan of alles goed gaat met de implementatie van hybride databeveiliging. Meld u aan voor e-mailmeldingen voor meer proactieve waarschuwingen. U krijgt een melding wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
                                                                                                                                                  1

                                                                                                                                                  Selecteer in Control HubServices in het menu links op het scherm.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellingen.

                                                                                                                                                  De pagina Instellingen voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3

                                                                                                                                                  Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen gescheiden door komma's en druk op Enter.

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  Nadat u een proefperiode hebt geactiveerd en de eerste set proefgebruikers hebt toegevoegd, kunt u op elk gewenst moment leden van de proefperiode toevoegen of verwijderen terwijl de proefperiode actief is.

                                                                                                                                                  Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker om sleutels en sleutels te maken vanuit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die is opgeslagen op uw KMS, zal de cloud-KMS deze namens de gebruiker ophalen.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep te beheren, HdsTrialGroup; u kunt de groepsleden weergeven in Control Hub, maar ze niet toevoegen of verwijderen.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Proefmodus van het gebied Servicestatus op Gebruikers toevoegen of klik op weergeven en bewerken om gebruikers uit de proefperiode te verwijderen.

                                                                                                                                                  4

                                                                                                                                                  Voer het e-mailadres in van een of meer gebruikers die u wilt toevoegen of klik op de X met een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan .

                                                                                                                                                  Overstappen van proefperiode naar productie

                                                                                                                                                  Als u er zeker van bent dat uw implementatie goed werkt voor de gebruikers van de proefperiode, kunt u overgaan naar productie. Wanneer u overgaat naar productie, gebruiken alle gebruikers in de organisatie uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. U kunt niet teruggaan naar de proefmodus vanuit de productie, tenzij u de service deactiveert als onderdeel van noodherstel. Als u de service opnieuw activeert, moet u een nieuwe proefperiode instellen.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Verplaatsen naar productie.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u al uw gebruikers naar de productie wilt verplaatsen.

                                                                                                                                                  Uw proefperiode beëindigen zonder over te stappen naar productie

                                                                                                                                                  Als u tijdens uw proefperiode besluit om niet door te gaan met uw implementatie van Hybride databeveiliging, kunt u Hybride databeveiliging deactiveren. Hiermee wordt de proefperiode beëindigd en worden de proefgebruikers weer verplaatst naar de cloudservices voor databeveiliging. De gebruikers van de proefperiode verliezen toegang tot de gegevens die tijdens de proefperiode zijn gecodeerd.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Deactiveren op Deactiveren.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u de service wilt deactiveren en beëindig de proefperiode.

                                                                                                                                                  Uw HDS-implementatie beheren

                                                                                                                                                  HDS-implementatie beheren

                                                                                                                                                  Gebruik de taken die hier worden beschreven om uw implementatie voor hybride databeveiliging te beheren.

                                                                                                                                                  Upgradeschema voor cluster instellen

                                                                                                                                                  Software-upgrades voor hybride databeveiliging worden automatisch uitgevoerd op clusterniveau, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens het upgradeschema voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie om de cluster handmatig te upgraden vóór de geplande upgradetijd. U kunt een specifiek upgradeschema instellen of het standaardschema van 3:00 AM Daily Verenigde Staten gebruiken: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

                                                                                                                                                  De upgradeplanning instellen:

                                                                                                                                                  1

                                                                                                                                                  Meld u aan Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Klik op de pagina Overzicht onder Hybride services op Hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Selecteer het cluster op de pagina Resources voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Selecteer in het deelvenster Overzicht aan de rechterkant onder Clusterinstellingen de clusternaam.

                                                                                                                                                  5

                                                                                                                                                  Selecteer op de pagina Instellingen onder Upgraden de tijd en tijdzone voor het upgradeschema.

                                                                                                                                                  Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen naar de volgende dag door op Uitstellen te klikken.

                                                                                                                                                  De knooppuntconfiguratie wijzigen

                                                                                                                                                  Soms moet u de configuratie van uw Hybrid Data Security-knooppunt wijzigen om een reden zoals:
                                                                                                                                                  • x.509-certificaten wijzigen vanwege verlopen of andere redenen.


                                                                                                                                                     

                                                                                                                                                    We ondersteunen het wijzigen van de CN- domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om het cluster te registreren.

                                                                                                                                                  • Database-instellingen bijwerken om te wijzigen in een replica van de PostgreSQL- of Microsoft SQL Server-database.


                                                                                                                                                     

                                                                                                                                                    We bieden geen ondersteuning voor het migreren van gegevens van PostgreSQL naar Microsoft SQL Server, of andersom. Als u de databaseomgeving wilt wijzigen, start u een nieuwe implementatie van Hybrid Data Security.

                                                                                                                                                  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

                                                                                                                                                  Om veiligheidsredenen gebruikt hybride databeveiliging serviceaccountwachtwoorden die elke 9 maanden worden gewijzigd. De HDS-setuptool genereert deze wachtwoorden en u implementeert ze in uw HDS-knooppunten als onderdeel van het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een 'kennisgeving van het verlopen van uw wachtwoord' van het Webex-team, waarin u wordt gevraagd het wachtwoord van uw machineaccount opnieuw in te stellen. (De e-mail bevat de tekst 'Gebruik de computeraccount- API om het wachtwoord bij te werken.') Als uw wachtwoorden nog niet zijn verlopen, biedt het hulpprogramma u twee opties:

                                                                                                                                                  • Zachte reset —De oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO -bestand op de knooppunten geleidelijk te vervangen.

                                                                                                                                                  • Harde reset —De oude wachtwoorden werken onmiddellijk niet meer.

                                                                                                                                                  Als uw wachtwoorden verlopen zonder een reset, heeft dit gevolgen voor uw HDS-service, waardoor een onmiddellijke harde reset en vervanging van het ISO -bestand op alle knooppunten nodig is.

                                                                                                                                                  Gebruik deze procedure om een nieuw ISO -configuratiebestand te genereren en dit toe te passen op uw cluster.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen bij het weergeven van de Docker-container in 1.e. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel die de PostgreSQL- of Microsoft SQL Server-database versleutelt. U hebt de ISO nodig wanneer u configuratiewijzigingen aanbrengt, inclusief databasereferenties, certificaatupdates of wijzigingen in het autorisatiebeleid.

                                                                                                                                                  1

                                                                                                                                                  Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

                                                                                                                                                  1. Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Met deze stap worden eerdere afbeeldingen van het HDS-configuratieprogramma opgeschoond. Als er geen eerdere afbeeldingen zijn, wordt een fout geretourneerd die u kunt negeren.

                                                                                                                                                  2. Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download de nieuwste stabiele installatiekopie voor uw omgeving:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 beschikken niet over de schermen voor het opnieuw instellen van wachtwoorden.

                                                                                                                                                  5. Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                    • In normale omgevingen zonder een proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'.

                                                                                                                                                  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  7. Wanneer u hierom wordt gevraagd, voert u uw -klantaanmeldgegevens in en klikt u vervolgens op Accepteren om door te gaan.

                                                                                                                                                  8. Importeer het huidige ISO-configuratiebestand.

                                                                                                                                                  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

                                                                                                                                                    Als u het installatieprogramma wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

                                                                                                                                                  2

                                                                                                                                                  Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor het -knooppunt en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

                                                                                                                                                  1. Installeer de HDS-host-OVA.

                                                                                                                                                  2. Stel de HDS-VM in.

                                                                                                                                                  3. Koppel het bijgewerkte configuratiebestand.

                                                                                                                                                  4. Registreer het nieuwe knooppunt in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Koppel het ISO -bestand voor bestaande HDS-knooppunten waarop het oudere configuratiebestand wordt uitgevoerd. Voer de volgende procedure uit op elk knooppunt en werk elk knooppunt bij voordat u het volgende knooppunt uitschakelt:

                                                                                                                                                  1. Schakel de virtuele machine uit.

                                                                                                                                                  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  3. Klikken CD/DVD Drive 1 Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

                                                                                                                                                  4. Schakel het selectievakje Verbinding maken na inschakelen in.

                                                                                                                                                  5. Sla uw wijzigingen op en schakel de virtuele machine in.

                                                                                                                                                  4

                                                                                                                                                  Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus uitschakelen

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. Als de DNS-server van het knooppunt geen openbare DNS-namen kan oplossen, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie.

                                                                                                                                                  Als uw knooppunten openbare DNS-namen kunnen oplossen via interne DNS-servers, kunt u deze modus uitschakelen door de proxyverbindingstest op elk knooppunt opnieuw uit te voeren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Zorg ervoor dat uw interne DNS-servers openbare DNS-namen kunnen oplossen en dat uw knooppunten met hen kunnen communiceren.
                                                                                                                                                  1

                                                                                                                                                  Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/instellingen, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Overzicht (de standaardpagina).

                                                                                                                                                  Indien ingeschakeld, Geblokkeerde externe DNS omzetting is ingesteld op Ja .

                                                                                                                                                  3

                                                                                                                                                  Ga naar de pagina Vertrouwensarchief & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken en blijft deze modus actief. Anders moet de geblokkeerde externe DNS-resolutie worden ingesteld op nee nadat u het knooppunt opnieuw hebt opgestart en teruggaat naar de pagina Overzicht.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Herhaal de proxyverbindingstest op elk knooppunt in uw cluster voor hybride databeveiliging.

                                                                                                                                                  Een knooppunt verwijderen

                                                                                                                                                  Gebruik deze procedure om een knooppunt voor hybride databeveiliging uit de Webex-cloud te verwijderen. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en de virtuele machine uit te schakelen.

                                                                                                                                                  2

                                                                                                                                                  Verwijder het knooppunt:

                                                                                                                                                  1. Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources voor hybride databeveiliging weer te geven.

                                                                                                                                                  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

                                                                                                                                                  4. Klik op Knooppuntenlijst openen.

                                                                                                                                                  5. Selecteer op het tabblad Knooppunten het knooppunt dat u wilt verwijderen.

                                                                                                                                                  6. Klik op Acties > Knooppunt uitschrijven.

                                                                                                                                                  3

                                                                                                                                                  Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

                                                                                                                                                  Als u de VM niet verwijdert, moet u het ISO-configuratiebestand loskoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken om toegang te krijgen tot uw beveiligingsgegevens.

                                                                                                                                                  Noodherstel met behulp van het stand-bydatacenter

                                                                                                                                                  De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt voor het coderen van berichten en andere inhoud die in de Webex-cloud is opgeslagen. Voor elke gebruiker binnen de organisatie die is toegewezen aan hybride databeveiliging, worden nieuwe aanvragen voor het maken van sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de sleutels die zijn gemaakt aan gebruikers die bevoegd zijn om ze op te halen, bijvoorbeeld leden van een gespreksruimte.

                                                                                                                                                  Omdat het cluster de kritieke functie van het leveren van deze sleutels vervult, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden behouden. Verlies van de database met hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van inhoud van de klant. De volgende praktijken zijn verplicht om een dergelijk verlies te voorkomen:

                                                                                                                                                  Als door een calamiteit de HDS-implementatie in het primaire datacenter niet meer beschikbaar is, volgt u deze procedure om handmatig te failover te gaan naar het stand-bydatacenter.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe of verwijder de passiveMode configuratie om het knooppunt actief te maken. Het knooppunt kan het verkeer afhandelen zodra dit is geconfigureerd.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de knooppunten van het stand-bydatacenter zich niet in de passieve modus bevinden. 'KMS geconfigureerd in de passieve modus' mag niet worden weergegeven in de syslogs.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als het primaire datacenter na failover weer actief wordt, plaatst u het stand-bydatacenter opnieuw in de passieve modus door de stappen te volgen die worden beschreven in Setup Standby Data Center for Disaster Recovery.

                                                                                                                                                  (Optioneel) ISO loskoppelen na HDS-configuratie

                                                                                                                                                  De standaard HDS-configuratie wordt uitgevoerd met de ISO gemonteerd. Maar sommige klanten geven er de voorkeur aan ISO-bestanden niet continu gemonteerd achter te laten. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

                                                                                                                                                  U gebruikt de ISO-bestanden nog steeds om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de installatietool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra al uw knooppunten de configuratiewijzigingen hebben overgenomen, kunt u de ISO opnieuw loskoppelen met deze procedure.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

                                                                                                                                                  1

                                                                                                                                                  Sluit een van uw HDS-knooppunten af.

                                                                                                                                                  2

                                                                                                                                                  Selecteer het HDS-knooppunt in het vCenter-serverapparaat.

                                                                                                                                                  3

                                                                                                                                                  Kies Instellingen bewerken > CD/DVD-station en ISO-gegevensopslagbestand uitschakelen.

                                                                                                                                                  4

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 20 minuten geen alarmen zijn.

                                                                                                                                                  5

                                                                                                                                                  Herhaal dit om de beurt voor elk HDS-knooppunt.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Waarschuwingen en problemen weergeven

                                                                                                                                                  Een implementatie voor hybride databeveiliging wordt als onbeschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als het cluster zo traag werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

                                                                                                                                                  • Nieuwe ruimten kunnen niet worden gemaakt (kan geen nieuwe sleutels maken)

                                                                                                                                                  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

                                                                                                                                                    • Nieuwe gebruikers toegevoegd aan een ruimte (kan geen toetsen ophalen)

                                                                                                                                                    • Bestaande gebruikers in een ruimte met een nieuwe client (kan geen sleutels ophalen)

                                                                                                                                                  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

                                                                                                                                                  Het is belangrijk dat u uw cluster voor hybride databeveiliging goed bewaakt en alle waarschuwingen onmiddellijk aanpakt om onderbrekingen van de service te voorkomen.

                                                                                                                                                  Waarschuwingen

                                                                                                                                                  Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen aan de organisatiebeheerder weer en worden e-mails naar het geconfigureerde e-mailadres verzonden. De waarschuwingen behandelen veel voorkomende scenario's.

                                                                                                                                                  Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

                                                                                                                                                  Alarm

                                                                                                                                                  Actie

                                                                                                                                                  Toegang tot lokale database mislukt.

                                                                                                                                                  Controleer op databasefouten of problemen met het lokale netwerk.

                                                                                                                                                  Lokale databaseverbinding mislukt.

                                                                                                                                                  Controleer of de databaseserver beschikbaar is en of de juiste serviceaccountgegevens zijn gebruikt in de knooppuntconfiguratie.

                                                                                                                                                  Toegang tot cloudservice mislukt.

                                                                                                                                                  Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Externe verbindingsvereisten.

                                                                                                                                                  Cloudserviceregistratie vernieuwen.

                                                                                                                                                  Registratie bij cloudservices is geschrapt. De registratie wordt vernieuwd.

                                                                                                                                                  Registratie van cloudservice is verbroken.

                                                                                                                                                  Registratie voor cloudservices is beëindigd. De service wordt afgesloten.

                                                                                                                                                  Service nog niet geactiveerd.

                                                                                                                                                  Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie.

                                                                                                                                                  Het geconfigureerde domein komt niet overeen met het servercertificaat.

                                                                                                                                                  Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

                                                                                                                                                  De meest waarschijnlijke oorzaak is dat de CN van het certificaat onlangs is gewijzigd en nu verschilt van de CN die tijdens de eerste installatie is gebruikt.

                                                                                                                                                  Kan niet verifiëren bij cloudservices.

                                                                                                                                                  Controleer of de gegevens van het serviceaccount correct zijn en mogelijk verlopen.

                                                                                                                                                  Kan lokaal keystore-bestand niet openen.

                                                                                                                                                  Controleer op integriteit en nauwkeurigheid van het wachtwoord in het lokale keystore-bestand.

                                                                                                                                                  Lokaal servercertificaat is ongeldig.

                                                                                                                                                  Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

                                                                                                                                                  Kan statistieken niet plaatsen.

                                                                                                                                                  Controleer de toegang van het lokale netwerk tot externe cloudservices.

                                                                                                                                                  /media/configdrive/hds directory bestaat niet.

                                                                                                                                                  Controleer de ISO-montageconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om opnieuw op te starten en of het met succes wordt geïnstalleerd.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met hybride databeveiliging.
                                                                                                                                                  1

                                                                                                                                                  Controleer Control Hub op waarschuwingen en los alle items op die u daar vindt.

                                                                                                                                                  2

                                                                                                                                                  Controleer de uitvoer van de syslog-server voor activiteit vanuit de implementatie voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Neem contact op met de ondersteuning van Cisco.

                                                                                                                                                  Andere opmerkingen

                                                                                                                                                  Bekende problemen voor hybride databeveiliging

                                                                                                                                                  • Als u uw cluster voor hybride databeveiliging afsluit (door het te verwijderen in Control Hub of door alle knooppunten af te sluiten), uw configuratie-ISO-bestand verliest of toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst met personen die zijn gemaakt met toetsen van uw KMS. Dit geldt zowel voor proefperioden als voor productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en dringen er bij u op aan om uw HDS-services niet af te sluiten zodra ze actieve gebruikersaccounts afhandelen.

                                                                                                                                                  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een periode (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefperiode voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken tot er een time-out optreedt. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact opneemt voor coderingssleutels.

                                                                                                                                                    Hetzelfde gedrag treedt op wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle niet-proefgebruikers met bestaande ECDH-verbindingen met de vorige gegevensbeveiligingsservices blijven deze services gebruiken totdat er opnieuw wordt onderhandeld over de ECDH-verbinding (via time-out of door afmelden en weer aanmelden).

                                                                                                                                                  OpenSSL gebruiken om een PKCS12-bestand te genereren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS Setup Tool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten niet op de een of andere manier.

                                                                                                                                                  • Als u ervoor kiest om OpenSSL te gebruiken, bieden we deze procedure aan als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

                                                                                                                                                  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

                                                                                                                                                  • Maak een privésleutel aan.

                                                                                                                                                  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificeringsinstantie (CA).

                                                                                                                                                  1

                                                                                                                                                  Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Geef het certificaat weer als tekst en controleer de details.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Gebruik een teksteditor om een certificaatbundelbestand met de naam hdsnode-bundle.pem. Het bundelbestand moet het servercertificaat, eventuele tussentijdse CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Maak het .p12-bestand met de vriendelijke naam kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controleer de gegevens van het servercertificaat.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Voer een wachtwoord in om de privésleutel te coderen, zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de lijnen bevatten friendlyName: kms-private-key.

                                                                                                                                                    Voorbeeld:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Ga terug naar Vereisten voor hybride databeveiliging voltooien. U gebruikt de hdsnode.p12 bestand en het wachtwoord dat u ervoor hebt ingesteld, in Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

                                                                                                                                                  Verkeer tussen de HDS-knooppunten en de cloud

                                                                                                                                                  Verkeer voor verzameling uitgaande statistieken

                                                                                                                                                  De knooppunten voor hybride databeveiliging sturen bepaalde statistieken naar de Webex-cloud. Dit zijn onder andere systeemstatistieken voor de maximale heap, gebruikte heap, CPU-belasting en draadtelling; statistieken over synchrone en asynchrone threads; statistieken over waarschuwingen met een drempelwaarde voor coderingsverbindingen, latentie of de lengte van een aanvraagwachtrij; statistieken over de gegevensopslag; en coderingsverbindingsstatistieken. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (gescheiden van het verzoekkanaal).

                                                                                                                                                  Inkomend verkeer

                                                                                                                                                  De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer vanuit de Webex-cloud:

                                                                                                                                                  • Coderingsverzoeken van clients die door de coderingsservice worden gerouteerd

                                                                                                                                                  • Upgrades naar de knooppuntsoftware

                                                                                                                                                  Squid-proxy's configureren voor hybride databeveiliging

                                                                                                                                                  Websocket kan geen verbinding maken via de Squid Proxy

                                                                                                                                                  Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de instelling van websocket ( wss:) verbindingen die Hybride databeveiliging vereist. Deze secties bieden richtlijnen voor het configureren van verschillende versies van Squid om te negeren wss: verkeer voor de goede werking van de diensten.

                                                                                                                                                  Inktvis 4 en 5

                                                                                                                                                  Voeg de on_unsupported_protocol richtlijn tot squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Pijlinktvis 3.5.27

                                                                                                                                                  We hebben hybride databeveiliging met succes getest met de volgende regels toegevoegd aan squid.conf. Deze regels kunnen worden gewijzigd bij het ontwikkelen van functies en het bijwerken van de Webex-cloud.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Voorwoord

                                                                                                                                                  Nieuwe en gewijzigde informatie

                                                                                                                                                  Datum

                                                                                                                                                  Aangebrachte wijzigingen

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augustus 2023

                                                                                                                                                  23 mei 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker Desktop.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  U kunt het bestand met de privésleutel en de CSR opnieuw gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie.

                                                                                                                                                  30 april 2021

                                                                                                                                                  De VM-vereiste voor lokale harde schijfruimte is gewijzigd in 30 GB. Zie Vereisten voor virtuele host voor meer informatie.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  De HDS-installatietool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO maken voor de HDS-hosts voor meer informatie.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu worden uitgevoerd zonder een gemonteerd ISO-bestand. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Informatie toegevoegd over het hulpprogramma HDS-instellingen en proxy's om een configuratie-ISO voor de HDS-hosts te maken.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Bijgewerkte Installatiebestanden downloaden.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt.

                                                                                                                                                  14 augustus 2020

                                                                                                                                                  De configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces.

                                                                                                                                                  5 augustus 2020

                                                                                                                                                  Bijgewerkte Test uw implementatie voor hybride databeveiliging voor wijzigingen in logboekberichten.

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om het maximale aantal hosts te verwijderen.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Bijgewerkt Een knooppunt verwijderen voor wijzigingen in de gebruikersinterface van Control Hub.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  De ISO voor configuratie maken voor de HDS-hosts is bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk hebt ingesteld.

                                                                                                                                                  29 mei 2020

                                                                                                                                                  Bijgewerkt: maak een configuratie-ISO voor de HDS-hosts om aan te geven dat u ook TLS kunt gebruiken met SQL Server-databases, gebruikersgebruikerswijzigingen en andere verduidelijkingen.

                                                                                                                                                  5 mei 2020

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om de nieuwe vereisten voor ESXi 6.5 weer te geven.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met nieuwe Americas CI-hosts.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met informatie over regionale CI-hosts.

                                                                                                                                                  20 februari 2020Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met informatie over het nieuwe optionele scherm Geavanceerde instellingen in de HDS-installatietool.
                                                                                                                                                  4 februari 2020Proxyserververeisten bijgewerkt.
                                                                                                                                                  16 december 2019De vereiste voor geblokkeerde externe DNS-resolutiemodus is verduidelijkt om te werken in de vereisten voor de proxyserver.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende gedeelten:

                                                                                                                                                  8 november 2019

                                                                                                                                                  U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van erna.

                                                                                                                                                  De volgende gedeelten zijn dienovereenkomstig bijgewerkt:


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Standaard SQL-server toegevoegd aan vereisten voor databaseserver.

                                                                                                                                                  29 augustus 2019Bijlage Squid-proxy's configureren voor hybride databeveiliging toegevoegd met richtlijnen voor het configureren van squid-proxy's om websocketverkeer te negeren voor een goede werking.
                                                                                                                                                  20 augustus 2019

                                                                                                                                                  Er zijn gedeelten toegevoegd en bijgewerkt voor proxyondersteuning voor communicatie van knooppunten voor hybride databeveiliging naar de Webex-cloud.

                                                                                                                                                  Zie het Help-artikel Proxy-ondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie.

                                                                                                                                                  13 juni 2019Bijgewerkte Trial to Production Task Flow met een herinnering om de HdsTrialGroup groepsobject voordat een proefperiode wordt gestart als uw organisatie adreslijstsynchronisatie gebruikt.
                                                                                                                                                  6 maart 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • De hoeveelheid lokale harde schijfruimte per server die u opzij moet zetten bij het voorbereiden van de virtuele hosts die de knooppunten voor hybride databeveiliging worden, van 50 GB tot 20 GB, is gecorrigeerd om de grootte van de schijf weer te geven die door de OVA wordt gemaakt.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Knooppunten voor hybride databeveiliging ondersteunen nu gecodeerde verbindingen met PostgreSQL-databaseservers en gecodeerde logboekverbindingen met een TLS-compatibele syslog-server. Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met instructies.

                                                                                                                                                  • De bestemmings-URL's zijn verwijderd uit de tabel 'Vereisten voor internetconnectiviteit voor hybride gegevensbeveiligingsknooppunt VM's'. De tabel verwijst nu naar de lijst die wordt bijgehouden in de tabel 'Aanvullende URL's voor hybride services van Webex Teams' van Netwerkvereisten voor Webex Teams-services.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybride databeveiliging ondersteunt nu Microsoft SQL Server als database. SQL Server Always On (Always On Failover Clusters en Always on Availability Groups) wordt ondersteund door de JDBC-stuurprogramma's die worden gebruikt in hybride databeveiliging. Er is inhoud toegevoegd met betrekking tot implementatie met SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ondersteuning voor Microsoft SQL Server is alleen bedoeld voor nieuwe implementaties van Hybride databeveiliging. We ondersteunen momenteel geen migratie van gegevens van PostgreSQL naar Microsoft SQL Server in een bestaande implementatie.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 mei 2018

                                                                                                                                                  Gewijzigde terminologie om de rebranding van Cisco Spark weer te geven:

                                                                                                                                                  • Cisco Spark hybride databeveiliging is nu hybride databeveiliging.

                                                                                                                                                  • De Cisco Spark-app is nu de Webex-app.

                                                                                                                                                  • De Cisco Collaboraton Cloud is nu de Webex-cloud.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • In de tabel X.509-certificaatvereisten is gespecificeerd dat het certificaat geen jokercertificaat kan zijn en dat de KMS het CN-domein gebruikt, niet een domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Adreslijstsynchronisatie van de HdsTrialGroup is verduidelijkt.

                                                                                                                                                  • Vaste instructies voor het uploaden van het ISO-configuratiebestand voor montage op de VM-knooppunten.

                                                                                                                                                  18 augustus 2017

                                                                                                                                                  Voor het eerst gepubliceerd

                                                                                                                                                  Aan de slag met hybride databeveiliging

                                                                                                                                                  Overzicht van hybride databeveiliging

                                                                                                                                                  Vanaf dag één is gegevensbeveiliging de belangrijkste focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end inhoudsversleuteling, mogelijk gemaakt door Webex -app-clients die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografische sleutels die clients gebruiken om berichten en bestanden dynamisch te versleutelen en ontsleutelen.

                                                                                                                                                  Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride gegevensbeveiliging verplaatst het KMS en andere beveiligingsgerelateerde functies naar het bedrijfsgegevens , zodat niemand anders dan u de sleutels heeft tot uw versleutelde inhoud.

                                                                                                                                                  Architectuur beveiligingsgebied

                                                                                                                                                  De Webex-cloudarchitectuur scheidt verschillende soorten service in afzonderlijke realms of vertrouwensdomeinen, zoals hieronder wordt weergegeven.

                                                                                                                                                  Scheidingsgebieden (zonder hybride databeveiliging)

                                                                                                                                                  Laten we eerst eens kijken naar deze zuivere cloudcase, waarin Cisco alle functies in zijn clouddomeinen aanbiedt om meer inzicht te krijgen in hybride databeveiliging. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks kunnen worden gecorreleerd met hun persoonlijke informatie zoals e-mailadres, is logisch en fysiek gescheiden van de beveiligingsrealm in datacenter B. Beide zijn op hun beurt gescheiden van de realm waar versleutelde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

                                                                                                                                                  In dit diagram is de client de Webex-app die wordt uitgevoerd op de laptop van een gebruiker en is deze geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

                                                                                                                                                  1. De client maakt een veilige verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel om het bericht te versleutelen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

                                                                                                                                                  2. Het bericht wordt gecodeerd voordat het de client verlaat. De klant stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

                                                                                                                                                  3. Het gecodeerde bericht wordt verzonden naar de nalevingsservice voor nalevingscontroles.

                                                                                                                                                  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

                                                                                                                                                  Wanneer u hybride databeveiliging implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de realms van Cisco.

                                                                                                                                                  Samenwerken met andere organisaties

                                                                                                                                                  Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, routeert uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS te krijgen en stuurt de sleutel vervolgens terug naar uw gebruiker op het oorspronkelijke kanaal.

                                                                                                                                                  De KMS-service die wordt uitgevoerd in organisatie A valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw implementatie voor hybride databeveiliging.

                                                                                                                                                  Verwachtingen voor het implementeren van hybride databeveiliging

                                                                                                                                                  Een implementatie van hybride databeveiliging vereist een aanzienlijke klantbetrokkenheid en een bewustzijn van de risico's van het bezit van coderingssleutels.

                                                                                                                                                  Als u hybride databeveiliging wilt implementeren, moet u het volgende opgeven:

                                                                                                                                                  Volledig verlies van de configuratie-ISO die u maakt voor hybride databeveiliging of de database die u levert, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers inhoud van de ruimte en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar alleen nieuwe inhoud is zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

                                                                                                                                                  • De back-up en het herstel van de database en de configuratie-ISO beheren.

                                                                                                                                                  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing in de databaseschijf of een ramp met het datacenter.


                                                                                                                                                   

                                                                                                                                                  Er is geen mechanisme om sleutels na een HDS-implementatie terug naar de cloud te verplaatsen.

                                                                                                                                                  Installatieproces op hoog niveau

                                                                                                                                                  Dit document behandelt het instellen en beheren van een implementatie voor hybride databeveiliging:

                                                                                                                                                  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset gebruikers in de proefmodus en, zodra uw tests zijn voltooid, het verplaatsen naar productie. Hiermee wordt de hele organisatie geconverteerd om uw cluster voor hybride databeveiliging te gebruiken voor beveiligingsfuncties.

                                                                                                                                                    De installatie-, proef- en productiefasen worden in de volgende drie hoofdstukken in detail besproken.

                                                                                                                                                  • Uw implementatie voor hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch voortdurende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig ondersteuning van Cisco inschakelen. U kunt meldingen op het scherm gebruiken en op e-mail gebaseerde waarschuwingen instellen in Control Hub.

                                                                                                                                                  • Algemene waarschuwingen, stappen voor probleemoplossing en bekende problemen begrijpen: als u problemen ondervindt bij het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  In uw bedrijfsdatacenter implementeert u hybride databeveiliging als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

                                                                                                                                                  Tijdens het installatieproces bieden we u het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt monteert. Het cluster Hybride databeveiliging gebruikt de door u geleverde Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de details van de Syslogd- en databaseverbinding in de HDS-installatietool.)

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  Het minimumaantal knooppunten dat u in een cluster kunt hebben is twee. We raden ten minste drie aan en u kunt er maximaal vijf hebben. Als u meerdere knooppunten hebt, wordt de service niet onderbroken tijdens een software-upgrade of andere onderhoudsactiviteit op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

                                                                                                                                                  Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en logboekactiviteit op dezelfde syslog-server. De knooppunten zelf zijn stateloos, en behandelen belangrijke verzoeken in round-robin mode, zoals geregisseerd door de cloud.

                                                                                                                                                  Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt buiten gebruik wilt stellen, kunt u de registratie ongedaan maken en later opnieuw registreren, indien nodig.

                                                                                                                                                  We ondersteunen slechts één cluster per organisatie.

                                                                                                                                                  Proefmodus voor hybride databeveiliging

                                                                                                                                                  Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u dit eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.

                                                                                                                                                  Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de pilootgebruikers en alle gebruikers met wie ze tijdens de proefperiode interactie hebben gehad door nieuwe ruimten te maken, de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.

                                                                                                                                                  Als u ervan overtuigd bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilootgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, bijvoorbeeld om noodherstel uit te voeren, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilootgebruikers voor de nieuwe proefperiode instellen voordat u teruggaat naar de productiemodus. Of gebruikers op dit moment toegang tot gegevens behouden, hangt af van het feit of u back-ups van de sleutelgegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster hebt onderhouden.

                                                                                                                                                  Standby-datacenter voor noodherstel

                                                                                                                                                  Tijdens de implementatie stelt u een beveiligd stand-bydatacenter in. In het geval van een ramp met een datacenter kunt u uw implementatie handmatig overzetten naar het stand-bydatacenter.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Handmatige failover naar stand-bydatacenter

                                                                                                                                                  De databases van de actieve en stand-by datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is om de failover uit te voeren, tot een minimum wordt beperkt. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten zijn geregistreerd bij de organisatie, maar geen verkeer afhandelen. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van de HDS-software.


                                                                                                                                                   

                                                                                                                                                  De actieve knooppunten voor hybride databeveiliging moeten altijd in hetzelfde datacenter zijn als de actieve databaseserver.

                                                                                                                                                  Standby-datacenter instellen voor noodherstel

                                                                                                                                                  Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Het stand-bydatacenter moet de productieomgeving van VM's en een back-up PostgreSQL- of Microsoft SQL Server-database weerspiegelen. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. (Zie Standby Data Center for Disaster Recovery voor een overzicht van dit failovermodel.)

                                                                                                                                                  • Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database met actieve en passieve clusterknooppunten.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.


                                                                                                                                                   

                                                                                                                                                  Het ISO-bestand moet een kopie zijn van het originele ISO-bestand van het primaire datacenter waarop de volgende configuratieupdates moeten worden uitgevoerd.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar wordt er geen verkeer afgehandeld.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslogs om te controleren of de knooppunten zich in de passieve modus bevinden. U moet het bericht 'KMS geconfigureerd in passieve modus' in de syslogs kunnen bekijken.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Na het configureren passiveMode in het ISO-bestand en opslaan, kunt u een andere kopie van het ISO-bestand maken zonder de passiveMode configureren en opslaan op een veilige locatie. Deze kopie van het ISO-bestand zonder passiveMode geconfigureerd kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met behulp van het stand-bydatacenter voor de gedetailleerde failoverprocedure.

                                                                                                                                                  Proxyondersteuning

                                                                                                                                                  Hybride databeveiliging ondersteunt expliciete, transparante en niet-inspecterende proxy's. U kunt deze proxy's aan uw implementatie koppelen zodat u het verkeer van de onderneming naar de cloud kunt beveiligen en bewaken. U kunt een platformbeheerinterface op de knooppunten gebruiken voor certificaatbeheer en om de algehele verbindingsstatus te controleren nadat u de proxy op de knooppunten hebt ingesteld.

                                                                                                                                                  De knooppunten voor hybride databeveiliging ondersteunen de volgende proxyopties:

                                                                                                                                                  • Geen proxy: de standaardinstelling als u de HDS-knooppuntconfiguratie Vertrouwensarchief en proxy niet gebruikt om een proxy te integreren. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante niet-inspecterende proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante tunneling of inspectie van proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP- of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).

                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welk proxyserver- en verificatieschema u moet gebruiken. Als u een expliciete proxy wilt configureren, moet u de volgende informatie op elk knooppunt invoeren:

                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

                                                                                                                                                      • HTTP: geeft alle verzoeken weer die de client verzendt en beheert deze.

                                                                                                                                                      • HTTPS: biedt een kanaal naar de server. De client ontvangt het servercertificaat en valideert het.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar als u HTTPS selecteert als proxyprotocol.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                  Voorbeeld van knooppunten voor hybride databeveiliging en proxy

                                                                                                                                                  In dit diagram ziet u een voorbeeldverbinding tussen hybride databeveiliging, netwerk en een proxy. Voor de opties voor transparante inspectie en HTTPS expliciete inspectie proxy moet hetzelfde hoofdcertificaat worden geïnstalleerd op de proxy en op de knooppunten voor hybride databeveiliging.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus (expliciete proxyconfiguraties)

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. In implementaties met expliciete proxyconfiguraties die geen externe DNS-resolutie voor interne clients toestaan, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie als het knooppunt de DNS-servers niet kan opvragen. In deze modus kunnen knooppuntregistratie en andere proxyverbindingstests worden voortgezet.

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  Vereisten voor hybride databeveiliging

                                                                                                                                                  Vereisten voor Cisco Webex-licenties

                                                                                                                                                  Hybride databeveiliging implementeren:

                                                                                                                                                  Vereisten voor Docker Desktop

                                                                                                                                                  Voordat u uw HDS-knooppunten installeert, hebt u Docker Desktop nodig om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie heeft mogelijk een betaald abonnement voor Docker Desktop nodig. Voor meer informatie raadpleegt u het Docker-blogbericht ' Docker werkt onze productabonnementen bij en verlengt deze ".

                                                                                                                                                  Vereisten voor X.509-certificaten

                                                                                                                                                  De certificaatketen moet aan de volgende vereisten voldoen:

                                                                                                                                                  Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

                                                                                                                                                  Vereiste

                                                                                                                                                  Details

                                                                                                                                                  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

                                                                                                                                                  Standaard vertrouwen we de CA’s in de Mozilla lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Bevat een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

                                                                                                                                                  • Is geen jokercertificaat

                                                                                                                                                  De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die uw organisatie weergeeft, bijvoorbeeld: hds.company.com.

                                                                                                                                                  De algemene naam mag geen * (jokerteken) bevatten.

                                                                                                                                                  De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren bij clients van de Webex-app. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  Zodra u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat kan worden toegepast op zowel de proefperiode- als productie-implementaties.

                                                                                                                                                  • Niet-SHA1 handtekening

                                                                                                                                                  De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

                                                                                                                                                  • Geformatteerd als een met een wachtwoord beveiligd PKCS #12-bestand

                                                                                                                                                  • Gebruik de vriendelijke naam van kms-private-key om het certificaat, de privésleutel en eventuele tussenliggende certificaten te taggen die moeten worden geüpload.

                                                                                                                                                  U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

                                                                                                                                                  U moet het wachtwoord invoeren wanneer u de HDS-installatietool uitvoert.

                                                                                                                                                  De KMS-software dwingt sleutelgebruik of uitgebreide beperkingen voor sleutelgebruik niet af. Sommige certificeringsinstanties vereisen dat uitgebreide belangrijke gebruiksbeperkingen worden toegepast op elk certificaat, zoals serververificatie. U mag de serververificatie of andere instellingen gebruiken.

                                                                                                                                                  Vereisten voor virtuele host

                                                                                                                                                  De virtuele hosts die u instelt als knooppunten voor hybride databeveiliging in uw cluster, hebben de volgende vereisten:

                                                                                                                                                  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich in hetzelfde beveiligde datacenter bevinden

                                                                                                                                                  • VMware ESXi 6.5 (of hoger) geïnstalleerd en actief.


                                                                                                                                                     

                                                                                                                                                    U moet upgraden als u een eerdere versie van ESXi hebt.

                                                                                                                                                  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

                                                                                                                                                  Vereisten voor databaseserver


                                                                                                                                                   

                                                                                                                                                  Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. Wanneer de HDS-toepassingen zijn geïnstalleerd, maakt u het databaseschema.

                                                                                                                                                  Er zijn twee opties voor databaseserver. De vereisten voor elk zijn als volgt:

                                                                                                                                                  Tabel 2. Vereisten databaseserver per type database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

                                                                                                                                                  • SQL Server 2016, 2017 of 2019 (Enterprise of Standard) geïnstalleerd.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL JDBC-stuurprogramma van SQL Server 4.6

                                                                                                                                                  Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover Cluster Instances en Always On availability groups).

                                                                                                                                                  Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

                                                                                                                                                  Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

                                                                                                                                                  • De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

                                                                                                                                                  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees-/schrijftoegang hebben tot de database.

                                                                                                                                                  • De DNS-servers die u aan HDS-knooppunten levert, moeten uw Key Distribution Center (KDC) kunnen oplossen.

                                                                                                                                                  • U kunt de HDS-database-instantie op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een servicenaam registreren voor Kerberos-verbindingen.

                                                                                                                                                    De HDS-installatietool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens van uw ISO-configuratie om de SPN te construeren wanneer ze toegang aanvragen met Kerberos-verificatie.

                                                                                                                                                  Externe connectiviteitsvereisten

                                                                                                                                                  Configureer uw firewall om de volgende verbinding voor de HDS-toepassingen toe te staan:

                                                                                                                                                  App

                                                                                                                                                  Protocol

                                                                                                                                                  Poort

                                                                                                                                                  Richting van app

                                                                                                                                                  Bestemming

                                                                                                                                                  Knooppunten voor hybride databeveiliging

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS en WSS

                                                                                                                                                  • Webex-servers:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • Andere URL's die worden vermeld voor beveiliging van hybride gegevens in de tabel Aanvullende URL's voor hybride Webex-services met netwerkvereisten voor Webex-services

                                                                                                                                                  Hulpprogramma voor HDS-instellingen

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die inkomend zijn naar de knooppunten voor hybride databeveiliging, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients voor beheerdoeleinden toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22.

                                                                                                                                                  De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:

                                                                                                                                                  Regio

                                                                                                                                                  Host-URL's van Common Identity

                                                                                                                                                  Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europese Unie

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Vereisten voor proxyserver

                                                                                                                                                  • We ondersteunen officieel de volgende proxyoplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride databeveiliging.

                                                                                                                                                    • Transparante proxy: Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Expliciete proxy: Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de oprichting van websocket verstoren (wss:) verbindingen. Zie Squid-proxy's configureren voor hybride databeveiliging voor meer informatie over dit probleem.

                                                                                                                                                  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

                                                                                                                                                    • Geen verificatie met HTTP of HTTPS

                                                                                                                                                    • Basisverificatie met HTTP of HTTPS

                                                                                                                                                    • Digestverificatie met alleen HTTPS

                                                                                                                                                  • Voor een transparante inspecterende proxy of een expliciete HTTPS-proxy moet u een kopie hebben van het hoofdcertificaat van de proxy. De implementatie-instructies in deze handleiding vertellen u hoe u de kopie kunt uploaden naar de vertrouwensarchieven van de knooppunten voor hybride databeveiliging.

                                                                                                                                                  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 te dwingen via de proxy te routeren.

                                                                                                                                                  • Proxy's die webverkeer inspecteren, kunnen de verbindingen met de websocket verstoren. Indien dit probleem zich voordoet, verkeer overslaan (niet inspecteren) naar wbx2.com en ciscospark.com zal het probleem oplossen.

                                                                                                                                                  Voldoen aan de vereisten voor hybride databeveiliging

                                                                                                                                                  Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
                                                                                                                                                  1

                                                                                                                                                  Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en ontvang de referenties van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

                                                                                                                                                  2

                                                                                                                                                  Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  3

                                                                                                                                                  Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt ten minste twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter zijn geplaatst en voldoen aan de vereisten in Vereisten voor virtuele host.

                                                                                                                                                  4

                                                                                                                                                  Bereid de databaseserver voor die zal fungeren als de belangrijkste gegevensopslag voor het cluster, overeenkomstig de vereisten voor de databaseserver. De databaseserver moet samen met de virtuele hosts in het beveiligde datacenter worden geplaatst.

                                                                                                                                                  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik de standaarddatabase niet. De HDS-toepassingen maken het databaseschema wanneer ze zijn geïnstalleerd.)

                                                                                                                                                  2. Verzamel de gegevens die de knooppunten gebruiken om met de databaseserver te communiceren:

                                                                                                                                                    • de hostnaam of het IP-adres (host) en de poort

                                                                                                                                                    • de naam van de database (dbname) voor key storage

                                                                                                                                                    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de database met sleutelopslag

                                                                                                                                                  5

                                                                                                                                                  Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben.

                                                                                                                                                  6

                                                                                                                                                  Stel een Syslog-host in om logboeken te verzamelen van de knooppunten in het cluster. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Maak een veilig back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.


                                                                                                                                                   

                                                                                                                                                  Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die worden gebruikt voor codering en decodering van inhoud, leidt het niet onderhouden van een operationele implementatie tot het ONHERSTELBARE VERLIES van die inhoud.

                                                                                                                                                  Clients van de Webex-app brengen hun sleutels in de cache, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen niet te voorkomen zijn, kunnen ze worden hersteld. Volledig verlies (geen back-ups beschikbaar) van de database of het ISO-configuratiebestand leidt echter tot niet-herstelbare klantgegevens. Van de beheerders van de knooppunten voor hybride databeveiliging wordt verwacht dat ze regelmatig back-ups van de database en het configuratie-ISO-bestand onderhouden, en dat ze bereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als er een catastrofale storing optreedt.

                                                                                                                                                  8

                                                                                                                                                  Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw hybride databeveiligingsknooppunten mogelijk maakt, zoals beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  9

                                                                                                                                                  Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft tot het besturingssysteem op http://127.0.0.1:8080.

                                                                                                                                                  U gebruikt het Docker-exemplaar om de HDS-installatietool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratie-informatie op voor alle knooppunten voor hybride databeveiliging. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker Desktop voor meer informatie.

                                                                                                                                                  Om de HDS-setuptool te installeren en uit te voeren, moet de lokale machine de connectiviteit hebben die wordt beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  10

                                                                                                                                                  Als u een proxy integreert met hybride databeveiliging, moet u ervoor zorgen dat deze voldoet aan de vereisten voor de proxyserver.

                                                                                                                                                  11

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, maakt u een groep in Active Directory met de naam HdsTrialGroup en pilootgebruikers toevoegen. De proefgroep kan maximaal 250 gebruikers hebben. Het HdsTrialGroup object moet worden gesynchroniseerd met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Als u een groepsobject wilt synchroniseren, selecteert u het in de van de directoryconnector Configuratie > menu Objectselectie. (Zie de Implementatiehandleiding voor Cisco Directoryconnector voor gedetailleerde instructies.)


                                                                                                                                                   

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Houd er bij het selecteren van pilootgebruikers rekening mee dat als u besluit de implementatie voor hybride databeveiliging permanent te deactiveren, alle gebruikers geen toegang meer hebben tot inhoud in de ruimten die door de pilootgebruikers zijn gemaakt. Het verlies wordt duidelijk zodra de apps van gebruikers hun in de cache opgeslagen kopieën van de inhoud vernieuwen.

                                                                                                                                                  Een cluster voor hybride databeveiliging instellen

                                                                                                                                                  Taakstroom implementatie hybride databeveiliging

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  1

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  Download het OVA-bestand naar uw lokale computer voor later gebruik.

                                                                                                                                                  2

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Gebruik de HDS-installatietool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Maak een virtuele machine vanuit het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  4

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd ten tijde van de OVA-implementatie.

                                                                                                                                                  5

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  6

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u indien nodig het proxycertificaat toe aan het vertrouwensarchief.

                                                                                                                                                  7

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Registreer de VM bij de Cisco Webex-cloud als een knooppunt voor hybride databeveiliging.

                                                                                                                                                  8

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Voltooi de clusterinstelling.

                                                                                                                                                  9

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)

                                                                                                                                                  Totdat u een proefperiode start, genereren uw knooppunten een alarm dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). Je gebruikt dit bestand later in het installatieproces.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en klik vervolgens op Services.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik vervolgens op Instellen.

                                                                                                                                                  Als de kaart is uitgeschakeld of u deze niet ziet, neemt u contact op met uw accountteam of uw partnerorganisatie. Geef uw accountnummer en vraag of u uw organisatie wilt inschakelen voor hybride databeveiliging. Als u het accountnummer wilt vinden, klikt u op het tandwiel rechtsboven naast de naam van uw organisatie.


                                                                                                                                                   

                                                                                                                                                  U kunt de OVA ook op elk gewenst moment downloaden via het gedeelte Help op de pagina Instellingen. Klik op de kaart Hybride databeveiliging op Instellingen bewerken om de pagina te openen. Klik vervolgens op Hybride databeveiligingssoftware downloaden in het gedeelte Help.


                                                                                                                                                   

                                                                                                                                                  Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de nieuwste versie van het OVA-bestand downloadt.

                                                                                                                                                  3

                                                                                                                                                  Selecteer Nee om aan te geven dat u het knooppunt nog niet hebt ingesteld en klik vervolgens op Volgende.

                                                                                                                                                  Het OVA-bestand begint automatisch te downloaden. Sla het bestand op een locatie op uw computer op.
                                                                                                                                                  4

                                                                                                                                                  U kunt ook op Implementatiehandleiding openen klikken om te controleren of er een latere versie van deze handleiding beschikbaar is.

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Het installatieproces voor hybride databeveiliging maakt een ISO-bestand. Vervolgens gebruikt u de ISO om uw host voor hybride databeveiliging te configureren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5 opent. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de nieuwste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals:

                                                                                                                                                    • Aanmeldgegevens database

                                                                                                                                                    • Certificaatupdates

                                                                                                                                                    • Wijzigingen in het autorisatiebeleid

                                                                                                                                                  • Als u databaseverbindingen wilt versleutelen, stelt u uw PostgreSQL- of SQL Server-implementatie voor TLS in.

                                                                                                                                                  1

                                                                                                                                                  Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Met deze stap worden eerdere afbeeldingen van het HDS-configuratieprogramma opgeschoond. Als er geen eerdere afbeeldingen zijn, wordt een fout geretourneerd die u kunt negeren.

                                                                                                                                                  2

                                                                                                                                                  Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download de nieuwste stabiele installatiekopie voor uw omgeving:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                  • In normale omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  Gebruik een webbrowser om naar de localhost te gaan http://127.0.0.1:8080 en voer de gebruikersnaam van de klantbeheerder voor Control Hub in de prompt in.

                                                                                                                                                  De tool gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Het hulpprogramma geeft vervolgens de standaard aanmeldingsprompt weer.

                                                                                                                                                  7

                                                                                                                                                  Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de Control Hub-klantbeheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

                                                                                                                                                  8

                                                                                                                                                  Klik op de overzichtspagina van de installatietool op Aan de slag.

                                                                                                                                                  9

                                                                                                                                                  Op de pagina ISO Import hebt u de volgende opties:

                                                                                                                                                  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
                                                                                                                                                  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de browse en uploadt u het.
                                                                                                                                                  10

                                                                                                                                                  Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  • Als u nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat OK is, klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat is verlopen of als u het wilt vervangen, selecteert u Nee voor Doorgaan met gebruik van HDS-certificaatketen en privésleutel uit vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
                                                                                                                                                  11

                                                                                                                                                  Voer het databaseadres en het account voor HDS in om toegang te krijgen tot uw belangrijke gegevensopslag:

                                                                                                                                                  1. Selecteer uw Database Type (PostgreSQL of Microsoft SQL Server).

                                                                                                                                                    Als u Microsoft SQL Server kiest, krijgt u een veld Verificatietype.

                                                                                                                                                  2. (Alleen Microsoft SQL Server) Selecteer uw verificatietype:

                                                                                                                                                    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam.

                                                                                                                                                    • Windows-verificatie: U hebt een Windows-account in de indeling nodig username@DOMAIN in het veld Gebruikersnaam.

                                                                                                                                                  3. Voer het adres van de databaseserver in het formulier in <hostname>:<port> of <IP-address>:<port>.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    dbhost.example.org:1433 of 198.51.100.17:1433

                                                                                                                                                    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

                                                                                                                                                    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

                                                                                                                                                  4. Voer de databasenaam in.

                                                                                                                                                  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten in de database voor sleutelopslag.

                                                                                                                                                  12

                                                                                                                                                  Selecteer een TLS-databaseverbindingsmodus:

                                                                                                                                                  Mode

                                                                                                                                                  Beschrijving

                                                                                                                                                  Voorkeur voor TLS (standaardoptie)

                                                                                                                                                  Voor HDS-knooppunten is geen TLS vereist om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

                                                                                                                                                  TLS vereisen

                                                                                                                                                  HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  TLS vereisen en certificaatondertekenaar verifiëren


                                                                                                                                                   

                                                                                                                                                  Deze modus is niet van toepassing op SQL Server-databases.

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik de hoofdcertificaat van database control onder de vervolgkeuzelijst om het hoofdcertificaat voor deze optie te uploaden.

                                                                                                                                                  TLS vereisen en certificaatondertekenaar en hostnaam verifiëren

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databasehost en -poort. De namen moeten exact overeenkomen, anders verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik de hoofdcertificaat van database control onder de vervolgkeuzelijst om het hoofdcertificaat voor deze optie te uploaden.

                                                                                                                                                  Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-installatietool de TLS-verbinding met de databaseserver. Het hulpprogramma verifieert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, geeft het hulpprogramma een foutmelding waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en wilt doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de HDS-installatietool niet met succes kan worden getest.)

                                                                                                                                                  13

                                                                                                                                                  Configureer uw Syslogd-server op de pagina Systeemlogboeken:

                                                                                                                                                  1. Voer de URL van de syslog-server in.

                                                                                                                                                    Als de server niet DNS-oplosbaar is vanuit de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij Syslogd-host 10.92.43.23 op UDP-poort 514.
                                                                                                                                                  2. Als u uw server instelt om TLS-codering te gebruiken, controleert u Is uw syslog-server geconfigureerd voor SSL-codering?.

                                                                                                                                                    Als u dit selectievakje inschakelt, moet u een TCP-URL invoeren, zoals tcp://10.92.43.23:514.

                                                                                                                                                  3. Kies in de vervolgkeuzelijst Beëindiging syslog-record kiezen de juiste instelling voor uw ISO-bestand: Kies of Newline wordt gebruikt voor Graylog en Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Selecteer deze keuze voor Graylog en Rsyslog TCP.

                                                                                                                                                  4. Klik op Doorgaan.

                                                                                                                                                  14

                                                                                                                                                  (Optioneel) U kunt de standaardwaarde voor bepaalde parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u wilt wijzigen:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik op Doorgaan op het scherm Wachtwoord serviceaccounts opnieuw instellen.

                                                                                                                                                  Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u wilt deze opnieuw instellen om eerdere ISO-bestanden ongeldig te maken.

                                                                                                                                                  16

                                                                                                                                                  Klik op ISO-bestand downloaden. Sla het bestand op een gemakkelijk te vinden locatie op.

                                                                                                                                                  17

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem.

                                                                                                                                                  Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  18

                                                                                                                                                  Als u het installatieprogramma wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten voor herstel te maken of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het herstellen van de sleutels uit uw PostgreSQL- of Microsoft SQL Server-database is niet mogelijk.


                                                                                                                                                   

                                                                                                                                                  We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze kwijtraakt.

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Gebruik deze procedure om een virtuele machine te maken vanuit het OVA-bestand.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

                                                                                                                                                  2

                                                                                                                                                  Selecteer File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

                                                                                                                                                  4

                                                                                                                                                  Op de Selecteer een naam en map pagina, voer een in Naam virtuele machine voor het knooppunt (bijvoorbeeld 'HDS_Node_1') kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Op de Een computerbron selecteren pagina, kies de bestemming compute resource en klik vervolgens op Volgende.

                                                                                                                                                  Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloondetails weergegeven.

                                                                                                                                                  6

                                                                                                                                                  Controleer de sjabloondetails en klik op Volgende.

                                                                                                                                                  7

                                                                                                                                                  Als u wordt gevraagd de resourceconfiguratie te kiezen op de Configuratie pagina, klik op 4 CPU en klik vervolgens op Volgende.

                                                                                                                                                  8

                                                                                                                                                  Op de Selecteer opslag pagina, klik op Volgende om de standaard schijfindeling en het VM-opslagbeleid te accepteren.

                                                                                                                                                  9

                                                                                                                                                  Op de Selecteer netwerken-pagina, kies de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

                                                                                                                                                  10

                                                                                                                                                  Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen:

                                                                                                                                                  • Hostnaam: voer de FQDN (hostnaam en domein) of een hostnaam met één woord in voor het knooppunt.

                                                                                                                                                     
                                                                                                                                                    • U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                    • Als u een succesvolle registratie bij de cloud wilt garanderen, gebruikt u alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld. Kapitalisatie wordt momenteel niet ondersteund.

                                                                                                                                                    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

                                                                                                                                                  • IP-adres— Voer het IP-adres in voor de interne interface van het knooppunt.

                                                                                                                                                     

                                                                                                                                                    Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  • Masker: voer het adres van het subnetmasker in de punt-decimale notatie in. Bijvoorbeeld 255.255.255.0.
                                                                                                                                                  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat als toegangspunt dient voor een ander netwerk.
                                                                                                                                                  • DNS-servers: voer een door komma's gescheiden lijst met DNS-servers in, die domeinnamen vertalen naar numerieke IP-adressen. (Maximaal 4 DNS-vermeldingen zijn toegestaan.)
                                                                                                                                                  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die in uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
                                                                                                                                                  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster bereikbaar zijn vanaf clients in uw netwerk voor administratieve doeleinden.

                                                                                                                                                  Indien gewenst kunt u de configuratie van de netwerkinstellingen overslaan en de stappen volgen in De hybride databeveiliging VM instellen om de instellingen vanaf de knooppuntconsole te configureren.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  11

                                                                                                                                                  Klik met de rechtermuisknop op het knooppunt VM en kies Voeding > Voeding aan.

                                                                                                                                                  De software voor hybride databeveiliging is geïnstalleerd als gast op de VM-host. U kunt zich nu aanmelden bij de console en het knooppunt configureren.

                                                                                                                                                  Tips voor het oplossen van problemen

                                                                                                                                                  U kunt een vertraging van een paar minuten ervaren voordat de knooppuntcontainers naar boven komen. Er verschijnt een brugfirewallbericht op de console tijdens de eerste keer opstarten, tijdens welke u zich niet kunt aanmelden.

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

                                                                                                                                                  1

                                                                                                                                                  Selecteer in de VMware vSphere-client uw knooppunt voor hybride databeveiliging VM en selecteer het tabblad Console.

                                                                                                                                                  De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldprompt niet wordt weergegeven, drukt u op Enter.
                                                                                                                                                  2

                                                                                                                                                  Gebruik de volgende standaardaanmelding en het volgende wachtwoord om u aan te melden en de aanmeldgegevens te wijzigen:

                                                                                                                                                  1. Aanmelden: admin

                                                                                                                                                  2. Wachtwoord: cisco

                                                                                                                                                  Aangezien u zich voor de eerste keer aanmeldt bij uw VM, moet u het beheerderswachtwoord wijzigen.

                                                                                                                                                  3

                                                                                                                                                  Als u de netwerkinstellingen al hebt geconfigureerd in Install the HDS Host OVA, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken.

                                                                                                                                                  4

                                                                                                                                                  Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  5

                                                                                                                                                  (Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om aan uw netwerkbeleid te voldoen.

                                                                                                                                                  U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                  6

                                                                                                                                                  Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen van kracht worden.

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Omdat het ISO-bestand de hoofdsleutel bevat, mag het alleen worden blootgesteld op een 'need to know'-basis, voor toegang door de VM's voor hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen die beheerders toegang hebben tot de gegevensopslag.

                                                                                                                                                  1

                                                                                                                                                  Upload het ISO-bestand vanaf uw computer:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

                                                                                                                                                  2. Klik in de hardwarelijst van het tabblad Configuratie op Opslag.

                                                                                                                                                  3. Klik in de lijst Datastores met de rechtermuisknop op de datastore voor uw VM's en klik op Browse Datastore.

                                                                                                                                                  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

                                                                                                                                                  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

                                                                                                                                                  6. Klik op Ja om de waarschuwing voor de upload-/downloadbewerking te accepteren en sluit het dialoogvenster Gegevensopslag.

                                                                                                                                                  2

                                                                                                                                                  Koppel het ISO-bestand:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  2. Klik op OK om de waarschuwing voor beperkte bewerkingsopties te accepteren.

                                                                                                                                                  3. Klikken CD/DVD Drive 1, selecteer de optie om te koppelen vanuit een ISO-bestand voor de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

                                                                                                                                                  4. Controleer Connected en Connect bij ingeschakeld contact.

                                                                                                                                                  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als uw IT-beleid dit vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride databeveiliging. Als u een transparante inspecterende proxy of een expliciete HTTPS-proxy kiest, kunt u de interface van het knooppunt gebruiken om het hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding controleren vanuit de interface en mogelijke problemen oplossen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  1

                                                                                                                                                  Voer de URL voor het instellen van het HDS-knooppunt in https://[HDS Node IP or FQDN]/setup voer in een webbrowser de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Trust Store & Proxy en kies een optie:

                                                                                                                                                  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante niet-inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om met een niet-inspecterende proxy te werken. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTPS-configuratiewijzigingen nodig voor de implementatie van hybride databeveiliging. De HDS-knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).
                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de client (HDS-knooppunten) aan welke proxyserver moet worden gebruikt. Deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: kies http (bekijkt en beheert alle aanvragen die van de client worden ontvangen) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar voor HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                  Volg de volgende stappen voor een transparante inspecterende proxy, een expliciete HTTP-proxy met basisverificatie of een expliciete HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik op Upload a Root Certificate or End Entity Certificate (Een hoofdcertificaat uploaden of een entiteitscertificaat beëindigen) en navigeer vervolgens naar een hoofdcertificaat voor de proxy kiezen.

                                                                                                                                                  Het certificaat is geüpload maar nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijl van de chevron bij de naam van de certificaatverstrekker voor meer informatie of klik op Verwijderen als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

                                                                                                                                                  Als de verbindingstest mislukt, ziet u een foutbericht met de reden en hoe u het probleem kunt oplossen.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken. Deze voorwaarde wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de modus Geblokkeerde externe DNS-resolutie. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u Geblokkeerde externe DNS-resolutiemodus uitschakelen.

                                                                                                                                                  5

                                                                                                                                                  Nadat de verbindingstest is verlopen en de expliciete proxy alleen is ingesteld op https, schakelt u de schakelaar in op Alle poort 443/444-https-verzoeken van dit knooppunt routeren via de expliciete proxy. Deze instelling heeft 15 seconden nodig om van kracht te worden.

                                                                                                                                                  6

                                                                                                                                                  Klik op Alle certificaten installeren in de Trust Store (wordt weergegeven voor een expliciete HTTPS-proxy of een transparante inspecterende proxy) of Opnieuw opstarten (wordt weergegeven voor een expliciete HTTP-proxy), lees de prompt en klik vervolgens op Installeren als u klaar bent.

                                                                                                                                                  Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

                                                                                                                                                  7

                                                                                                                                                  Nadat het knooppunt opnieuw is opgestart, meldt u zich indien nodig opnieuw aan en opent u de pagina Overzicht om de connectiviteitscontroles te controleren en ervoor te zorgen dat ze allemaal groen zijn.

                                                                                                                                                  Met de proxyverbindingscontrole wordt alleen een subdomein van webex.com getest. Als er verbindingsproblemen zijn, is een algemeen probleem dat sommige van de clouddomeinen die in de installatie-instructies worden vermeld, worden geblokkeerd bij de proxy.

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Voor deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in de Hybride databeveiliging VM instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

                                                                                                                                                  Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd om redundantie te bieden.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Selecteer Services in het menu links op het scherm.

                                                                                                                                                  3

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellen.

                                                                                                                                                  De pagina Knooppunt voor hybride databeveiliging registreren wordt weergegeven.
                                                                                                                                                  4

                                                                                                                                                  Selecteer Ja om aan te geven dat u het knooppunt hebt ingesteld en klaar bent om het te registreren. Klik vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Voer in het eerste veld een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

                                                                                                                                                  We raden u aan een cluster een naam te geven op basis van waar de knooppunten van het cluster zich geografisch bevinden. Voorbeelden: "San Francisco" of "New York" of "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                  Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein dat u hebt gebruikt in De VM voor hybride databeveiliging instellen.

                                                                                                                                                  Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik op Ga naar knooppunt.

                                                                                                                                                  8

                                                                                                                                                  Klik in het waarschuwingsbericht op Doorgaan.

                                                                                                                                                  Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  9

                                                                                                                                                  Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                  Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  10

                                                                                                                                                  Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Op de pagina Hybride databeveiliging wordt het nieuwe cluster weergegeven met het knooppunt dat u hebt geregistreerd. Het knooppunt downloadt automatisch de nieuwste software vanuit de cloud.

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Als u extra knooppunten aan uw cluster wilt toevoegen, maakt u gewoon extra VM's en monteert u hetzelfde configuratie-ISO-bestand en registreert u het knooppunt. We raden u aan ten minste 3 knooppunten te hebben.

                                                                                                                                                   

                                                                                                                                                  Op dit moment zijn de back-up-VM's die u hebt gemaakt in Voldoen aan de vereisten voor hybride databeveiliging stand-byhosts die alleen worden gebruikt in het geval van noodherstel. Ze zijn tot die tijd niet geregistreerd bij het systeem. Zie Noodherstel met behulp van het stand-bydatacenter voor meer informatie.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Maak een nieuwe virtuele machine vanuit de OVA en herhaal de stappen in Installeer de HDS-host-OVA.

                                                                                                                                                  2

                                                                                                                                                  Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De hybride databeveiliging instellen.

                                                                                                                                                  3

                                                                                                                                                  Herhaal op de nieuwe VM de stappen in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Configureer het HDS-knooppunt voor proxyintegratie indien nodig voor het nieuwe knooppunt.

                                                                                                                                                  5

                                                                                                                                                  Registreer het knooppunt.

                                                                                                                                                  1. Selecteer in https://admin.webex.comServices in het menu links op het scherm.

                                                                                                                                                  2. Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik op Resources.

                                                                                                                                                    De pagina Resources voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3. Klik op Resource toevoegen.

                                                                                                                                                  4. Selecteer in het eerste veld de naam van uw bestaande cluster.

                                                                                                                                                  5. Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                    Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex-cloud.
                                                                                                                                                  6. Klik op Ga naar knooppunt.

                                                                                                                                                    Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u machtigingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Uw knooppunt is geregistreerd. Houd er rekening mee dat totdat u een proefperiode start, uw knooppunten een alarm genereren dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)
                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie

                                                                                                                                                  Doorstroom proefperiode naar productietaak

                                                                                                                                                  Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers toevoegen en deze gaan gebruiken om uw implementatie te testen en te verifiëren ter voorbereiding op de overgang naar productie.

                                                                                                                                                  1

                                                                                                                                                  Indien van toepassing, synchroniseer de HdsTrialGroup groepsobject.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  2

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd.

                                                                                                                                                  3

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Controleer of belangrijke aanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Controleer de status en stel e-mailmeldingen in voor alarmen.

                                                                                                                                                  5

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  6

                                                                                                                                                  Voltooi de onderzoeksfase met een van de volgende acties:

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Proefperiode starten.

                                                                                                                                                  De servicestatus verandert in de proefmodus.
                                                                                                                                                  4

                                                                                                                                                  Klik op Gebruikers toevoegen en voer het e-mailadres van een of meer gebruikers in om uw knooppunten voor hybride databeveiliging te gebruiken voor codering- en indexeringsservices.

                                                                                                                                                  (Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory om de testgroep te beheren, HdsTrialGroup.)

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging te testen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Stel uw implementatie voor hybride databeveiliging in.

                                                                                                                                                  • Activeer de proefperiode en voeg verschillende proefgebruikers toe.

                                                                                                                                                  • Zorg ervoor dat u toegang hebt tot de syslog om te controleren of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilootgebruikers en maak vervolgens een ruimte en nodig ten minste één pilootgebruiker en één niet-pilootgebruiker uit.


                                                                                                                                                   

                                                                                                                                                  Als u de implementatie van hybride databeveiliging deactiveert, is inhoud in ruimten die pilootgebruikers maken niet meer toegankelijk zodra de in de client opgeslagen kopieën van de coderingssleutels zijn vervangen.

                                                                                                                                                  2

                                                                                                                                                  Verzend berichten naar de nieuwe ruimte.

                                                                                                                                                  3

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de sleutelaanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1. Als u wilt controleren of een gebruiker eerst een veilig kanaal naar de KMS heeft ingesteld, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden, zoals de volgende (identificatiegegevens ingekort voor leesbaarheid):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om te controleren of een gebruiker een bestaande sleutel van het KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Om te controleren of een gebruiker een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Als u wilt controleren of een gebruiker die het maken van een nieuw KMS Resource Object (KRO) aanvraagt wanneer een ruimte of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Een statusindicator in Control Hub geeft aan of alles goed gaat met de implementatie van hybride databeveiliging. Meld u aan voor e-mailmeldingen voor meer proactieve waarschuwingen. U krijgt een melding wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
                                                                                                                                                  1

                                                                                                                                                  Selecteer in Control HubServices in het menu links op het scherm.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellingen.

                                                                                                                                                  De pagina Instellingen voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3

                                                                                                                                                  Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen gescheiden door komma's en druk op Enter.

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  Nadat u een proefperiode hebt geactiveerd en de eerste set proefgebruikers hebt toegevoegd, kunt u op elk gewenst moment leden van de proefperiode toevoegen of verwijderen terwijl de proefperiode actief is.

                                                                                                                                                  Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker om sleutels en sleutels te maken vanuit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die is opgeslagen op uw KMS, zal de cloud-KMS deze namens de gebruiker ophalen.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep te beheren, HdsTrialGroup; u kunt de groepsleden weergeven in Control Hub, maar ze niet toevoegen of verwijderen.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Proefmodus van het gebied Servicestatus op Gebruikers toevoegen of klik op weergeven en bewerken om gebruikers uit de proefperiode te verwijderen.

                                                                                                                                                  4

                                                                                                                                                  Voer het e-mailadres in van een of meer gebruikers die u wilt toevoegen of klik op de X met een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan .

                                                                                                                                                  Overstappen van proefperiode naar productie

                                                                                                                                                  Als u er zeker van bent dat uw implementatie goed werkt voor de gebruikers van de proefperiode, kunt u overgaan naar productie. Wanneer u overgaat naar productie, gebruiken alle gebruikers in de organisatie uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. U kunt niet teruggaan naar de proefmodus vanuit de productie, tenzij u de service deactiveert als onderdeel van noodherstel. Als u de service opnieuw activeert, moet u een nieuwe proefperiode instellen.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Verplaatsen naar productie.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u al uw gebruikers naar de productie wilt verplaatsen.

                                                                                                                                                  Uw proefperiode beëindigen zonder over te stappen naar productie

                                                                                                                                                  Als u tijdens uw proefperiode besluit om niet door te gaan met uw implementatie van Hybride databeveiliging, kunt u Hybride databeveiliging deactiveren. Hiermee wordt de proefperiode beëindigd en worden de proefgebruikers weer verplaatst naar de cloudservices voor databeveiliging. De gebruikers van de proefperiode verliezen toegang tot de gegevens die tijdens de proefperiode zijn gecodeerd.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Deactiveren op Deactiveren.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u de service wilt deactiveren en beëindig de proefperiode.

                                                                                                                                                  Uw HDS-implementatie beheren

                                                                                                                                                  HDS-implementatie beheren

                                                                                                                                                  Gebruik de taken die hier worden beschreven om uw implementatie voor hybride databeveiliging te beheren.

                                                                                                                                                  Upgradeschema voor cluster instellen

                                                                                                                                                  Software-upgrades voor hybride databeveiliging worden automatisch uitgevoerd op clusterniveau, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens het upgradeschema voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie om de cluster handmatig te upgraden vóór de geplande upgradetijd. U kunt een specifiek upgradeschema instellen of het standaardschema van 3:00 AM Daily Verenigde Staten gebruiken: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

                                                                                                                                                  De upgradeplanning instellen:

                                                                                                                                                  1

                                                                                                                                                  Meld u aan Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Klik op de pagina Overzicht onder Hybride services op Hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Selecteer het cluster op de pagina Resources voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Selecteer in het deelvenster Overzicht aan de rechterkant onder Clusterinstellingen de clusternaam.

                                                                                                                                                  5

                                                                                                                                                  Selecteer op de pagina Instellingen onder Upgraden de tijd en tijdzone voor het upgradeschema.

                                                                                                                                                  Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen naar de volgende dag door op Uitstellen te klikken.

                                                                                                                                                  De knooppuntconfiguratie wijzigen

                                                                                                                                                  Soms moet u de configuratie van uw Hybrid Data Security-knooppunt wijzigen om een reden zoals:
                                                                                                                                                  • x.509-certificaten wijzigen vanwege verlopen of andere redenen.


                                                                                                                                                     

                                                                                                                                                    We ondersteunen het wijzigen van de CN- domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om het cluster te registreren.

                                                                                                                                                  • Database-instellingen bijwerken om te wijzigen in een replica van de PostgreSQL- of Microsoft SQL Server-database.


                                                                                                                                                     

                                                                                                                                                    We bieden geen ondersteuning voor het migreren van gegevens van PostgreSQL naar Microsoft SQL Server, of andersom. Als u de databaseomgeving wilt wijzigen, start u een nieuwe implementatie van Hybrid Data Security.

                                                                                                                                                  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

                                                                                                                                                  Om veiligheidsredenen gebruikt hybride databeveiliging serviceaccountwachtwoorden die elke 9 maanden worden gewijzigd. De HDS-setuptool genereert deze wachtwoorden en u implementeert ze in uw HDS-knooppunten als onderdeel van het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een 'kennisgeving van het verlopen van uw wachtwoord' van het Webex-team, waarin u wordt gevraagd het wachtwoord van uw machineaccount opnieuw in te stellen. (De e-mail bevat de tekst 'Gebruik de computeraccount- API om het wachtwoord bij te werken.') Als uw wachtwoorden nog niet zijn verlopen, biedt het hulpprogramma u twee opties:

                                                                                                                                                  • Zachte reset —De oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO -bestand op de knooppunten geleidelijk te vervangen.

                                                                                                                                                  • Harde reset —De oude wachtwoorden werken onmiddellijk niet meer.

                                                                                                                                                  Als uw wachtwoorden verlopen zonder een reset, heeft dit gevolgen voor uw HDS-service, waardoor een onmiddellijke harde reset en vervanging van het ISO -bestand op alle knooppunten nodig is.

                                                                                                                                                  Gebruik deze procedure om een nieuw ISO -configuratiebestand te genereren en dit toe te passen op uw cluster.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen bij het weergeven van de Docker-container in 1.e. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel die de PostgreSQL- of Microsoft SQL Server-database versleutelt. U hebt de ISO nodig wanneer u configuratiewijzigingen aanbrengt, inclusief databasereferenties, certificaatupdates of wijzigingen in het autorisatiebeleid.

                                                                                                                                                  1

                                                                                                                                                  Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

                                                                                                                                                  1. Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Met deze stap worden eerdere afbeeldingen van het HDS-configuratieprogramma opgeschoond. Als er geen eerdere afbeeldingen zijn, wordt een fout geretourneerd die u kunt negeren.

                                                                                                                                                  2. Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download de nieuwste stabiele installatiekopie voor uw omgeving:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 beschikken niet over de schermen voor het opnieuw instellen van wachtwoorden.

                                                                                                                                                  5. Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                    • In normale omgevingen zonder een proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'.

                                                                                                                                                  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  7. Wanneer u hierom wordt gevraagd, voert u uw -klantaanmeldgegevens in en klikt u vervolgens op Accepteren om door te gaan.

                                                                                                                                                  8. Importeer het huidige ISO-configuratiebestand.

                                                                                                                                                  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

                                                                                                                                                    Als u het installatieprogramma wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

                                                                                                                                                  2

                                                                                                                                                  Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor het -knooppunt en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

                                                                                                                                                  1. Installeer de HDS-host-OVA.

                                                                                                                                                  2. Stel de HDS-VM in.

                                                                                                                                                  3. Koppel het bijgewerkte configuratiebestand.

                                                                                                                                                  4. Registreer het nieuwe knooppunt in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Koppel het ISO -bestand voor bestaande HDS-knooppunten waarop het oudere configuratiebestand wordt uitgevoerd. Voer de volgende procedure uit op elk knooppunt en werk elk knooppunt bij voordat u het volgende knooppunt uitschakelt:

                                                                                                                                                  1. Schakel de virtuele machine uit.

                                                                                                                                                  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  3. Klikken CD/DVD Drive 1 Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

                                                                                                                                                  4. Schakel het selectievakje Verbinding maken na inschakelen in.

                                                                                                                                                  5. Sla uw wijzigingen op en schakel de virtuele machine in.

                                                                                                                                                  4

                                                                                                                                                  Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus uitschakelen

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. Als de DNS-server van het knooppunt geen openbare DNS-namen kan oplossen, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie.

                                                                                                                                                  Als uw knooppunten openbare DNS-namen kunnen oplossen via interne DNS-servers, kunt u deze modus uitschakelen door de proxyverbindingstest op elk knooppunt opnieuw uit te voeren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Zorg ervoor dat uw interne DNS-servers openbare DNS-namen kunnen oplossen en dat uw knooppunten met hen kunnen communiceren.
                                                                                                                                                  1

                                                                                                                                                  Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/instellingen, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Overzicht (de standaardpagina).

                                                                                                                                                  Indien ingeschakeld, Geblokkeerde externe DNS omzetting is ingesteld op Ja .

                                                                                                                                                  3

                                                                                                                                                  Ga naar de pagina Vertrouwensarchief & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken en blijft deze modus actief. Anders moet de geblokkeerde externe DNS-resolutie worden ingesteld op nee nadat u het knooppunt opnieuw hebt opgestart en teruggaat naar de pagina Overzicht.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Herhaal de proxyverbindingstest op elk knooppunt in uw cluster voor hybride databeveiliging.

                                                                                                                                                  Een knooppunt verwijderen

                                                                                                                                                  Gebruik deze procedure om een knooppunt voor hybride databeveiliging uit de Webex-cloud te verwijderen. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en de virtuele machine uit te schakelen.

                                                                                                                                                  2

                                                                                                                                                  Verwijder het knooppunt:

                                                                                                                                                  1. Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources voor hybride databeveiliging weer te geven.

                                                                                                                                                  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

                                                                                                                                                  4. Klik op Knooppuntenlijst openen.

                                                                                                                                                  5. Selecteer op het tabblad Knooppunten het knooppunt dat u wilt verwijderen.

                                                                                                                                                  6. Klik op Acties > Knooppunt uitschrijven.

                                                                                                                                                  3

                                                                                                                                                  Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

                                                                                                                                                  Als u de VM niet verwijdert, moet u het ISO-configuratiebestand loskoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken om toegang te krijgen tot uw beveiligingsgegevens.

                                                                                                                                                  Noodherstel met behulp van het stand-bydatacenter

                                                                                                                                                  De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt voor het coderen van berichten en andere inhoud die in de Webex-cloud is opgeslagen. Voor elke gebruiker binnen de organisatie die is toegewezen aan hybride databeveiliging, worden nieuwe aanvragen voor het maken van sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de sleutels die zijn gemaakt aan gebruikers die bevoegd zijn om ze op te halen, bijvoorbeeld leden van een gespreksruimte.

                                                                                                                                                  Omdat het cluster de kritieke functie van het leveren van deze sleutels vervult, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden behouden. Verlies van de database met hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van inhoud van de klant. De volgende praktijken zijn verplicht om een dergelijk verlies te voorkomen:

                                                                                                                                                  Als door een calamiteit de HDS-implementatie in het primaire datacenter niet meer beschikbaar is, volgt u deze procedure om handmatig te failover te gaan naar het stand-bydatacenter.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe of verwijder de passiveMode configuratie om het knooppunt actief te maken. Het knooppunt kan het verkeer afhandelen zodra dit is geconfigureerd.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de knooppunten van het stand-bydatacenter zich niet in de passieve modus bevinden. 'KMS geconfigureerd in de passieve modus' mag niet worden weergegeven in de syslogs.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als het primaire datacenter na failover weer actief wordt, plaatst u het stand-bydatacenter opnieuw in de passieve modus door de stappen te volgen die worden beschreven in Setup Standby Data Center for Disaster Recovery.

                                                                                                                                                  (Optioneel) ISO loskoppelen na HDS-configuratie

                                                                                                                                                  De standaard HDS-configuratie wordt uitgevoerd met de ISO gemonteerd. Maar sommige klanten geven er de voorkeur aan ISO-bestanden niet continu gemonteerd achter te laten. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

                                                                                                                                                  U gebruikt de ISO-bestanden nog steeds om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de installatietool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra al uw knooppunten de configuratiewijzigingen hebben overgenomen, kunt u de ISO opnieuw loskoppelen met deze procedure.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

                                                                                                                                                  1

                                                                                                                                                  Sluit een van uw HDS-knooppunten af.

                                                                                                                                                  2

                                                                                                                                                  Selecteer het HDS-knooppunt in het vCenter-serverapparaat.

                                                                                                                                                  3

                                                                                                                                                  Kies Instellingen bewerken > CD/DVD-station en ISO-gegevensopslagbestand uitschakelen.

                                                                                                                                                  4

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 20 minuten geen alarmen zijn.

                                                                                                                                                  5

                                                                                                                                                  Herhaal dit om de beurt voor elk HDS-knooppunt.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Waarschuwingen en problemen weergeven

                                                                                                                                                  Een implementatie voor hybride databeveiliging wordt als onbeschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als het cluster zo traag werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

                                                                                                                                                  • Nieuwe ruimten kunnen niet worden gemaakt (kan geen nieuwe sleutels maken)

                                                                                                                                                  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

                                                                                                                                                    • Nieuwe gebruikers toegevoegd aan een ruimte (kan geen toetsen ophalen)

                                                                                                                                                    • Bestaande gebruikers in een ruimte met een nieuwe client (kan geen sleutels ophalen)

                                                                                                                                                  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

                                                                                                                                                  Het is belangrijk dat u uw cluster voor hybride databeveiliging goed bewaakt en alle waarschuwingen onmiddellijk aanpakt om onderbrekingen van de service te voorkomen.

                                                                                                                                                  Waarschuwingen

                                                                                                                                                  Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen aan de organisatiebeheerder weer en worden e-mails naar het geconfigureerde e-mailadres verzonden. De waarschuwingen behandelen veel voorkomende scenario's.

                                                                                                                                                  Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

                                                                                                                                                  Alarm

                                                                                                                                                  Actie

                                                                                                                                                  Toegang tot lokale database mislukt.

                                                                                                                                                  Controleer op databasefouten of problemen met het lokale netwerk.

                                                                                                                                                  Lokale databaseverbinding mislukt.

                                                                                                                                                  Controleer of de databaseserver beschikbaar is en of de juiste serviceaccountgegevens zijn gebruikt in de knooppuntconfiguratie.

                                                                                                                                                  Toegang tot cloudservice mislukt.

                                                                                                                                                  Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Externe verbindingsvereisten.

                                                                                                                                                  Cloudserviceregistratie vernieuwen.

                                                                                                                                                  Registratie bij cloudservices is geschrapt. De registratie wordt vernieuwd.

                                                                                                                                                  Registratie van cloudservice is verbroken.

                                                                                                                                                  Registratie voor cloudservices is beëindigd. De service wordt afgesloten.

                                                                                                                                                  Service nog niet geactiveerd.

                                                                                                                                                  Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie.

                                                                                                                                                  Het geconfigureerde domein komt niet overeen met het servercertificaat.

                                                                                                                                                  Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

                                                                                                                                                  De meest waarschijnlijke oorzaak is dat de CN van het certificaat onlangs is gewijzigd en nu verschilt van de CN die tijdens de eerste installatie is gebruikt.

                                                                                                                                                  Kan niet verifiëren bij cloudservices.

                                                                                                                                                  Controleer of de gegevens van het serviceaccount correct zijn en mogelijk verlopen.

                                                                                                                                                  Kan lokaal keystore-bestand niet openen.

                                                                                                                                                  Controleer op integriteit en nauwkeurigheid van het wachtwoord in het lokale keystore-bestand.

                                                                                                                                                  Lokaal servercertificaat is ongeldig.

                                                                                                                                                  Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

                                                                                                                                                  Kan statistieken niet plaatsen.

                                                                                                                                                  Controleer de toegang van het lokale netwerk tot externe cloudservices.

                                                                                                                                                  /media/configdrive/hds directory bestaat niet.

                                                                                                                                                  Controleer de ISO-montageconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om opnieuw op te starten en of het met succes wordt geïnstalleerd.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met hybride databeveiliging.
                                                                                                                                                  1

                                                                                                                                                  Controleer Control Hub op waarschuwingen en los alle items op die u daar vindt.

                                                                                                                                                  2

                                                                                                                                                  Controleer de uitvoer van de syslog-server voor activiteit vanuit de implementatie voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Neem contact op met de ondersteuning van Cisco.

                                                                                                                                                  Andere opmerkingen

                                                                                                                                                  Bekende problemen voor hybride databeveiliging

                                                                                                                                                  • Als u uw cluster voor hybride databeveiliging afsluit (door het te verwijderen in Control Hub of door alle knooppunten af te sluiten), uw configuratie-ISO-bestand verliest of toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst met personen die zijn gemaakt met toetsen van uw KMS. Dit geldt zowel voor proefperioden als voor productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en dringen er bij u op aan om uw HDS-services niet af te sluiten zodra ze actieve gebruikersaccounts afhandelen.

                                                                                                                                                  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een periode (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefperiode voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken tot er een time-out optreedt. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact opneemt voor coderingssleutels.

                                                                                                                                                    Hetzelfde gedrag treedt op wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle niet-proefgebruikers met bestaande ECDH-verbindingen met de vorige gegevensbeveiligingsservices blijven deze services gebruiken totdat er opnieuw wordt onderhandeld over de ECDH-verbinding (via time-out of door afmelden en weer aanmelden).

                                                                                                                                                  OpenSSL gebruiken om een PKCS12-bestand te genereren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS Setup Tool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten niet op de een of andere manier.

                                                                                                                                                  • Als u ervoor kiest om OpenSSL te gebruiken, bieden we deze procedure aan als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

                                                                                                                                                  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

                                                                                                                                                  • Maak een privésleutel aan.

                                                                                                                                                  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificeringsinstantie (CA).

                                                                                                                                                  1

                                                                                                                                                  Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Geef het certificaat weer als tekst en controleer de details.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Gebruik een teksteditor om een certificaatbundelbestand met de naam hdsnode-bundle.pem. Het bundelbestand moet het servercertificaat, eventuele tussentijdse CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Maak het .p12-bestand met de vriendelijke naam kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controleer de gegevens van het servercertificaat.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Voer een wachtwoord in om de privésleutel te coderen, zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de lijnen bevatten friendlyName: kms-private-key.

                                                                                                                                                    Voorbeeld:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Ga terug naar Vereisten voor hybride databeveiliging voltooien. U gebruikt de hdsnode.p12 bestand en het wachtwoord dat u ervoor hebt ingesteld, in Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

                                                                                                                                                  Verkeer tussen de HDS-knooppunten en de cloud

                                                                                                                                                  Verkeer voor verzameling uitgaande statistieken

                                                                                                                                                  De knooppunten voor hybride databeveiliging sturen bepaalde statistieken naar de Webex-cloud. Dit zijn onder andere systeemstatistieken voor de maximale heap, gebruikte heap, CPU-belasting en draadtelling; statistieken over synchrone en asynchrone threads; statistieken over waarschuwingen met een drempelwaarde voor coderingsverbindingen, latentie of de lengte van een aanvraagwachtrij; statistieken over de gegevensopslag; en coderingsverbindingsstatistieken. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (gescheiden van het verzoekkanaal).

                                                                                                                                                  Inkomend verkeer

                                                                                                                                                  De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer vanuit de Webex-cloud:

                                                                                                                                                  • Coderingsverzoeken van clients die door de coderingsservice worden gerouteerd

                                                                                                                                                  • Upgrades naar de knooppuntsoftware

                                                                                                                                                  Squid-proxy's configureren voor hybride databeveiliging

                                                                                                                                                  Websocket kan geen verbinding maken via de Squid Proxy

                                                                                                                                                  Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de instelling van websocket ( wss:) verbindingen die Hybride databeveiliging vereist. Deze secties bieden richtlijnen voor het configureren van verschillende versies van Squid om te negeren wss: verkeer voor de goede werking van de diensten.

                                                                                                                                                  Inktvis 4 en 5

                                                                                                                                                  Voeg de on_unsupported_protocol richtlijn tot squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Pijlinktvis 3.5.27

                                                                                                                                                  We hebben hybride databeveiliging met succes getest met de volgende regels toegevoegd aan squid.conf. Deze regels kunnen worden gewijzigd bij het ontwikkelen van functies en het bijwerken van de Webex-cloud.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Voorwoord

                                                                                                                                                  Nieuwe en gewijzigde informatie

                                                                                                                                                  Datum

                                                                                                                                                  Aangebrachte wijzigingen

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augustus 2023

                                                                                                                                                  23 mei 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker Desktop.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  U kunt het bestand met de privésleutel en de CSR opnieuw gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie.

                                                                                                                                                  30 april 2021

                                                                                                                                                  De VM-vereiste voor lokale harde schijfruimte is gewijzigd in 30 GB. Zie Vereisten voor virtuele host voor meer informatie.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  De HDS-installatietool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO maken voor de HDS-hosts voor meer informatie.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu worden uitgevoerd zonder een gemonteerd ISO-bestand. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Informatie toegevoegd over het hulpprogramma HDS-instellingen en proxy's om een configuratie-ISO voor de HDS-hosts te maken.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Bijgewerkte Installatiebestanden downloaden.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt.

                                                                                                                                                  14 augustus 2020

                                                                                                                                                  De configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces.

                                                                                                                                                  5 augustus 2020

                                                                                                                                                  Bijgewerkte Test uw implementatie voor hybride databeveiliging voor wijzigingen in logboekberichten.

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om het maximale aantal hosts te verwijderen.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Bijgewerkt Een knooppunt verwijderen voor wijzigingen in de gebruikersinterface van Control Hub.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  De ISO voor configuratie maken voor de HDS-hosts is bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk hebt ingesteld.

                                                                                                                                                  29 mei 2020

                                                                                                                                                  Bijgewerkt: maak een configuratie-ISO voor de HDS-hosts om aan te geven dat u ook TLS kunt gebruiken met SQL Server-databases, gebruikersgebruikerswijzigingen en andere verduidelijkingen.

                                                                                                                                                  5 mei 2020

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om de nieuwe vereisten voor ESXi 6.5 weer te geven.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met nieuwe Americas CI-hosts.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met informatie over regionale CI-hosts.

                                                                                                                                                  20 februari 2020Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met informatie over het nieuwe optionele scherm Geavanceerde instellingen in de HDS-installatietool.
                                                                                                                                                  4 februari 2020Proxyserververeisten bijgewerkt.
                                                                                                                                                  16 december 2019De vereiste voor geblokkeerde externe DNS-resolutiemodus is verduidelijkt om te werken in de vereisten voor de proxyserver.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende gedeelten:

                                                                                                                                                  8 november 2019

                                                                                                                                                  U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van erna.

                                                                                                                                                  De volgende gedeelten zijn dienovereenkomstig bijgewerkt:


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Standaard SQL-server toegevoegd aan vereisten voor databaseserver.

                                                                                                                                                  29 augustus 2019Bijlage Squid-proxy's configureren voor hybride databeveiliging toegevoegd met richtlijnen voor het configureren van squid-proxy's om websocketverkeer te negeren voor een goede werking.
                                                                                                                                                  20 augustus 2019

                                                                                                                                                  Er zijn gedeelten toegevoegd en bijgewerkt voor proxyondersteuning voor communicatie van knooppunten voor hybride databeveiliging naar de Webex-cloud.

                                                                                                                                                  Zie het Help-artikel Proxy-ondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie.

                                                                                                                                                  13 juni 2019Bijgewerkte Trial to Production Task Flow met een herinnering om het HdsTrialGroup -groepsobject te synchroniseren voordat een proefperiode wordt gestart als uw organisatie adreslijstsynchronisatie gebruikt.
                                                                                                                                                  6 maart 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • De hoeveelheid lokale harde schijfruimte per server die u opzij moet zetten bij het voorbereiden van de virtuele hosts die de knooppunten voor hybride databeveiliging worden, van 50 GB tot 20 GB, is gecorrigeerd om de grootte van de schijf weer te geven die door de OVA wordt gemaakt.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Knooppunten voor hybride databeveiliging ondersteunen nu gecodeerde verbindingen met PostgreSQL-databaseservers en gecodeerde logboekverbindingen met een TLS-compatibele syslog-server. Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met instructies.

                                                                                                                                                  • De bestemmings-URL's zijn verwijderd uit de tabel 'Vereisten voor internetconnectiviteit voor hybride gegevensbeveiligingsknooppunt VM's'. De tabel verwijst nu naar de lijst die wordt bijgehouden in de tabel 'Aanvullende URL's voor hybride services van Webex Teams' van Netwerkvereisten voor Webex Teams-services.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybride databeveiliging ondersteunt nu Microsoft SQL Server als database. SQL Server Always On (Always On Failover Clusters en Always on Availability Groups) wordt ondersteund door de JDBC-stuurprogramma's die worden gebruikt in hybride databeveiliging. Er is inhoud toegevoegd met betrekking tot implementatie met SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ondersteuning voor Microsoft SQL Server is alleen bedoeld voor nieuwe implementaties van Hybride databeveiliging. We ondersteunen momenteel geen migratie van gegevens van PostgreSQL naar Microsoft SQL Server in een bestaande implementatie.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 mei 2018

                                                                                                                                                  Gewijzigde terminologie om de rebranding van Cisco Spark weer te geven:

                                                                                                                                                  • Cisco Spark hybride databeveiliging is nu hybride databeveiliging.

                                                                                                                                                  • De Cisco Spark-app is nu de Webex-app.

                                                                                                                                                  • De Cisco Collaboraton Cloud is nu de Webex-cloud.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • In de tabel X.509-certificaatvereisten is gespecificeerd dat het certificaat geen jokercertificaat kan zijn en dat de KMS het CN-domein gebruikt, niet een domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Adreslijstsynchronisatie van de HdsTrialGroup is verduidelijkt.

                                                                                                                                                  • Vaste instructies voor het uploaden van het ISO-configuratiebestand voor montage op de VM-knooppunten.

                                                                                                                                                  18 augustus 2017

                                                                                                                                                  Voor het eerst gepubliceerd

                                                                                                                                                  Aan de slag met hybride databeveiliging

                                                                                                                                                  Overzicht van hybride databeveiliging

                                                                                                                                                  Vanaf dag één is gegevensbeveiliging de belangrijkste focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end-inhoudcodering, ingeschakeld door clients van de Webex-app die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografiesleutels die clients gebruiken om berichten en bestanden dynamisch te coderen en te decoderen.

                                                                                                                                                  Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride databeveiliging verplaatst de KMS en andere beveiligingsgerelateerde functies naar uw bedrijfsdatacenter, dus niemand maar u beschikt over de sleutels voor uw gecodeerde inhoud.

                                                                                                                                                  Architectuur beveiligingsgebied

                                                                                                                                                  De Webex-cloudarchitectuur scheidt verschillende soorten service in afzonderlijke realms of vertrouwensdomeinen, zoals hieronder wordt weergegeven.

                                                                                                                                                  Scheidingsgebieden (zonder hybride databeveiliging)

                                                                                                                                                  Laten we eerst eens kijken naar deze zuivere cloudcase, waarin Cisco alle functies in zijn clouddomeinen aanbiedt om meer inzicht te krijgen in hybride databeveiliging. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks kunnen worden gecorreleerd met hun persoonlijke informatie zoals e-mailadres, is logisch en fysiek gescheiden van de beveiligingsrealm in datacenter B. Beide zijn op hun beurt gescheiden van de realm waar versleutelde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

                                                                                                                                                  In dit diagram is de client de Webex-app die wordt uitgevoerd op de laptop van een gebruiker en is deze geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

                                                                                                                                                  1. De client maakt een veilige verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel om het bericht te versleutelen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

                                                                                                                                                  2. Het bericht wordt gecodeerd voordat het de client verlaat. De klant stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

                                                                                                                                                  3. Het gecodeerde bericht wordt verzonden naar de nalevingsservice voor nalevingscontroles.

                                                                                                                                                  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

                                                                                                                                                  Wanneer u hybride databeveiliging implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de realms van Cisco.

                                                                                                                                                  Samenwerken met andere organisaties

                                                                                                                                                  Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, routeert uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS te krijgen en stuurt de sleutel vervolgens terug naar uw gebruiker op het oorspronkelijke kanaal.

                                                                                                                                                  De KMS-service die wordt uitgevoerd in organisatie A valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw implementatie voor hybride databeveiliging.

                                                                                                                                                  Verwachtingen voor het implementeren van hybride databeveiliging

                                                                                                                                                  Een implementatie van hybride databeveiliging vereist een aanzienlijke klantbetrokkenheid en een bewustzijn van de risico's van het bezit van coderingssleutels.

                                                                                                                                                  Als u hybride databeveiliging wilt implementeren, moet u het volgende opgeven:

                                                                                                                                                  Volledig verlies van de configuratie-ISO die u maakt voor hybride databeveiliging of de database die u levert, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers inhoud van de ruimte en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar alleen nieuwe inhoud is zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

                                                                                                                                                  • De back-up en het herstel van de database en de configuratie-ISO beheren.

                                                                                                                                                  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing in de databaseschijf of een ramp met het datacenter.


                                                                                                                                                   

                                                                                                                                                  Er is geen mechanisme om sleutels na een HDS-implementatie terug naar de cloud te verplaatsen.

                                                                                                                                                  Installatieproces op hoog niveau

                                                                                                                                                  Dit document behandelt het instellen en beheren van een implementatie voor hybride databeveiliging:

                                                                                                                                                  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset gebruikers in de proefmodus en, zodra uw tests zijn voltooid, het verplaatsen naar productie. Hiermee wordt de hele organisatie geconverteerd om uw cluster voor hybride databeveiliging te gebruiken voor beveiligingsfuncties.

                                                                                                                                                    De installatie-, proef- en productiefasen worden in de volgende drie hoofdstukken in detail besproken.

                                                                                                                                                  • Uw implementatie voor hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch voortdurende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig ondersteuning van Cisco inschakelen. U kunt meldingen op het scherm gebruiken en op e-mail gebaseerde waarschuwingen instellen in Control Hub.

                                                                                                                                                  • Algemene waarschuwingen, stappen voor probleemoplossing en bekende problemen begrijpen: als u problemen ondervindt bij het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  In uw bedrijfsdatacenter implementeert u hybride databeveiliging als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

                                                                                                                                                  Tijdens het installatieproces bieden we u het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt monteert. Het cluster Hybride databeveiliging gebruikt de door u geleverde Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de details van de Syslogd- en databaseverbinding in de HDS-installatietool.)

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  Het minimumaantal knooppunten dat u in een cluster kunt hebben is twee. We raden ten minste drie aan en u kunt er maximaal vijf hebben. Het hebben van meerdere knooppunten zorgt ervoor dat de service niet wordt onderbroken tijdens een software-upgrade of andere onderhoudsactiviteit op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

                                                                                                                                                  Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en logboekactiviteit op dezelfde syslog-server. De knooppunten zelf zijn stateloos, en behandelen belangrijke verzoeken in round-robin mode, zoals geregisseerd door de cloud.

                                                                                                                                                  Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt buiten gebruik wilt stellen, kunt u de registratie ongedaan maken en later opnieuw registreren, indien nodig.

                                                                                                                                                  We ondersteunen slechts één cluster per organisatie.

                                                                                                                                                  Proefmodus voor hybride databeveiliging

                                                                                                                                                  Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u dit eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.

                                                                                                                                                  Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de pilootgebruikers en alle gebruikers met wie ze tijdens de proefperiode interactie hebben gehad door nieuwe ruimten te maken, de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.

                                                                                                                                                  Als u ervan overtuigd bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilootgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, bijvoorbeeld om noodherstel uit te voeren, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilootgebruikers voor de nieuwe proefperiode instellen voordat u teruggaat naar de productiemodus. Of gebruikers op dit moment toegang tot gegevens behouden, hangt af van het feit of u back-ups van de sleutelgegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster hebt onderhouden.

                                                                                                                                                  Standby-datacenter voor noodherstel

                                                                                                                                                  Tijdens de implementatie stelt u een beveiligd stand-bydatacenter in. In het geval van een ramp met een datacenter kunt u uw implementatie handmatig overzetten naar het stand-bydatacenter.

                                                                                                                                                  Voor failover heeft datacenter A actieve HDS-knooppunten en de primaire PostgreSQL- of Microsoft SQL Server-database, terwijl B een kopie heeft van het ISO-bestand met aanvullende configuraties, VM's die bij de organisatie zijn geregistreerd en een stand-bydatabase. Na failover heeft datacenter B actieve HDS-knooppunten en de primaire database, terwijl A niet-geregistreerde VM's en een kopie van het ISO-bestand heeft en de database zich in de stand-bymodus bevindt.
                                                                                                                                                  Handmatige failover naar stand-bydatacenter

                                                                                                                                                  De databases van de actieve en stand-by datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is om de failover uit te voeren, tot een minimum wordt beperkt. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten zijn geregistreerd bij de organisatie, maar geen verkeer afhandelen. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van de HDS-software.


                                                                                                                                                   

                                                                                                                                                  De actieve knooppunten voor hybride databeveiliging moeten altijd in hetzelfde datacenter zijn als de actieve databaseserver.

                                                                                                                                                  Standby-datacenter instellen voor noodherstel

                                                                                                                                                  Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Het stand-bydatacenter moet de productieomgeving van VM's en een back-up PostgreSQL- of Microsoft SQL Server-database weerspiegelen. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. (Zie Standby Data Center for Disaster Recovery voor een overzicht van dit failovermodel.)

                                                                                                                                                  • Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database met actieve en passieve clusterknooppunten.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.


                                                                                                                                                   

                                                                                                                                                  Het ISO-bestand moet een kopie zijn van het originele ISO-bestand van het primaire datacenter waarop de volgende configuratieupdates moeten worden uitgevoerd.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar wordt er geen verkeer afgehandeld.

                                                                                                                                                   passiveMode: 'waar' 

                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslogs om te controleren of de knooppunten zich in de passieve modus bevinden. U moet het bericht 'KMS geconfigureerd in passieve modus' in de syslogs kunnen bekijken.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Nadat u de passiveMode in het ISO-bestand hebt geconfigureerd en opgeslagen, kunt u een andere kopie van het ISO-bestand maken zonder de configuratie van de passiveMode en deze op een veilige locatie opslaan. Deze kopie van het ISO-bestand zonder passiveMode -configuratie kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met behulp van het stand-bydatacenter voor de gedetailleerde failoverprocedure.

                                                                                                                                                  Proxy ondersteuning

                                                                                                                                                  Hybride gegevensbeveiliging biedt ondersteuning voor expliciete, transparante inspectie en het niet-geïnspecteerde proxy's. U kunt deze proxy's koppelen aan uw implementatie zodat u verkeer van de onderneming kunt beveiligen en controleren naar de Cloud. U kunt een platformbeheer interface gebruiken op de knooppunten voor certificaatbeheer en de algehele verbindingsstatus controleren nadat u de proxy op de knooppunten hebt ingesteld.

                                                                                                                                                  De knooppunten voor hybride data beveiliging ondersteunen de volgende proxy opties:

                                                                                                                                                  • Geen proxy: de standaardinstelling als u de configuratie Trust Store & Proxy van het HDS-knooppunt niet gebruikt om een proxy te integreren. Er is geen certificaat update vereist.

                                                                                                                                                  • Transparante niet-inspecterende proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om met een niet-inspecterende proxy te werken. Er is geen certificaat update vereist.

                                                                                                                                                  • Transparante tunneling of inspectie proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP-of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).

                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welke proxyserver en het verificatieschema moeten worden gebruikt. Als u een expliciete proxy wilt configureren, moet u op elk knooppunt de volgende informatie invoeren:

                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

                                                                                                                                                      • HTTP: alle aanvragen die de client verzendt, worden weergegeven en beheerd.

                                                                                                                                                      • HTTPS: geeft een kanaal aan de server. De client ontvangt en valideert het certificaat van de server.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

                                                                                                                                                      • Basis: gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt base64-codering.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

                                                                                                                                                        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

                                                                                                                                                        Alleen beschikbaar als u HTTPS als proxy protocol selecteert.

                                                                                                                                                        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

                                                                                                                                                  Voorbeeld van knooppunten en proxy voor hybride data beveiliging

                                                                                                                                                  Dit diagram toont een voorbeeld van een verbinding tussen de hybride gegevensbeveiliging, het netwerk en een proxy. Voor de instellingen voor transparant inspecteren en HTTPS expliciet controleren, moeten dezelfde hoofdcertificaat op de proxy en op de knooppunten voor hybride data beveiliging worden geïnstalleerd.

                                                                                                                                                  Geblokkeerde externe DNS-omzettingsmodus (expliciete proxy configuraties)

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. In implementaties met expliciete proxyconfiguraties die geen externe DNS-omzetting voor interne clients toestaan, als het knooppunt de DNS-servers niet kan opvragen, wordt de geblokkeerde externe DNS-omzettingsmodus automatisch ingeschakeld. In deze modus kan de registratie van knooppunten en andere proxy connectiviteitstests worden voortgezet.

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  Vereisten voor hybride databeveiliging

                                                                                                                                                  Vereisten voor Cisco Webex-licenties

                                                                                                                                                  Hybride databeveiliging implementeren:

                                                                                                                                                  Vereisten voor X.509-certificaten

                                                                                                                                                  De certificaatketen moet aan de volgende vereisten voldoen:

                                                                                                                                                  Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

                                                                                                                                                  Vereiste

                                                                                                                                                  Details

                                                                                                                                                  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

                                                                                                                                                  Standaard vertrouwen we de CA’s in de Mozilla lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Bevat een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

                                                                                                                                                  • Is geen jokercertificaat

                                                                                                                                                  De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die uw organisatie weergeeft, bijvoorbeeld hds.company.com.

                                                                                                                                                  De algemene naam mag geen * (jokerteken) bevatten.

                                                                                                                                                  De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren bij clients van de Webex-app. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  Zodra u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat kan worden toegepast op zowel de proefperiode- als productie-implementaties.

                                                                                                                                                  • Niet-SHA1 handtekening

                                                                                                                                                  De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

                                                                                                                                                  • Geformatteerd als een met een wachtwoord beveiligd PKCS #12-bestand

                                                                                                                                                  • Gebruik de vriendelijke naam van kms-private-key om het certificaat, de privésleutel en eventuele tussenliggende certificaten te taggen om te uploaden.

                                                                                                                                                  U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

                                                                                                                                                  U moet het wachtwoord invoeren wanneer u de HDS-installatietool uitvoert.

                                                                                                                                                  De KMS-software dwingt geen sleutelgebruik of uitgebreide beperkingen voor sleutelgebruik af. Sommige certificeringsinstanties vereisen dat uitgebreide belangrijke gebruiksbeperkingen worden toegepast op elk certificaat, zoals serververificatie. U mag de serververificatie of andere instellingen gebruiken.

                                                                                                                                                  Vereisten voor virtuele host

                                                                                                                                                  De virtuele hosts die u instelt als knooppunten voor hybride databeveiliging in uw cluster hebben de volgende vereisten:

                                                                                                                                                  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich in hetzelfde beveiligde datacenter bevinden

                                                                                                                                                  • VMware ESXi 6.5 (of hoger) geïnstalleerd en actief.


                                                                                                                                                     

                                                                                                                                                    U moet upgraden als u een eerdere versie van ESXi hebt.

                                                                                                                                                  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

                                                                                                                                                  Vereisten voor databaseserver


                                                                                                                                                   

                                                                                                                                                  Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. Wanneer de HDS-toepassingen zijn geïnstalleerd, maakt u het databaseschema.

                                                                                                                                                  Er zijn twee opties voor databaseserver. De vereisten voor elk zijn als volgt:

                                                                                                                                                  Tabel 2. Vereisten databaseserver per type database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

                                                                                                                                                  • SQL Server 2016, 2017 of 2019 (Enterprise of Standard) geïnstalleerd.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL JDBC-stuurprogramma van SQL Server 4.6

                                                                                                                                                  Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover Cluster Instances en Always On availability groups).

                                                                                                                                                  Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

                                                                                                                                                  Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

                                                                                                                                                  • De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

                                                                                                                                                  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees-/schrijftoegang hebben tot de database.

                                                                                                                                                  • De DNS-servers die u aan HDS-knooppunten levert, moeten uw Key Distribution Center (KDC) kunnen oplossen.

                                                                                                                                                  • U kunt de HDS-database-instantie op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een servicenaam registreren voor Kerberos-verbindingen.

                                                                                                                                                    De HDS-installatietool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens van uw ISO-configuratie om de SPN te construeren wanneer ze toegang aanvragen met Kerberos-verificatie.

                                                                                                                                                  Externe connectiviteitsvereisten

                                                                                                                                                  Configureer uw firewall om de volgende verbinding voor de HDS-toepassingen toe te staan:

                                                                                                                                                  Toepassing

                                                                                                                                                  Protocol

                                                                                                                                                  Poort

                                                                                                                                                  Richting van app

                                                                                                                                                  Bestemming

                                                                                                                                                  Knooppunten voor hybride databeveiliging

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS en WSS

                                                                                                                                                  • Webex-servers:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • Andere URL's die worden vermeld voor beveiliging van hybride gegevens in de tabel Aanvullende URL's voor hybride Webex-services met Netwerkvereisten voor Webex-services

                                                                                                                                                  Hulpprogramma voor HDS-instellingen

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die inkomend zijn naar de knooppunten voor hybride databeveiliging, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients voor beheerdoeleinden toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22.

                                                                                                                                                  De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:

                                                                                                                                                  Regio

                                                                                                                                                  Host-URL's van Common Identity

                                                                                                                                                  Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europese Unie

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Vereisten voor de proxy server

                                                                                                                                                  • We ondersteunen de volgende proxy oplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride data beveiliging.

                                                                                                                                                    • Transparante proxy: Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Expliciete proxy-pijlinktvis.


                                                                                                                                                       

                                                                                                                                                      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de vorming van websocket-verbindingen (wss:) verstoren. Zie Squid-proxy's configureren voor hybride databeveiliging voor meer informatie over dit probleem.

                                                                                                                                                  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

                                                                                                                                                    • Geen verificatie met HTTP of HTTPS

                                                                                                                                                    • Basisverificatie met HTTP of HTTPS

                                                                                                                                                    • Alleen verificatiesamenvatting met HTTPS

                                                                                                                                                  • Voor een transparante inspectie proxy of een HTTPS-expliciete proxy moet u een kopie van de hoofdcertificaat van de proxy hebben. De implementatie-instructies in deze handleiding geven aan hoe u de kopie kunt uploaden naar de vertrouwens archieven van de hybride Data Security-knooppunten.

                                                                                                                                                  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 af te ronden via de proxy.

                                                                                                                                                  • Proxy's die het webverkeer controleren, kunnen de WebSocket-verbindingen belemmeren. Als dit probleem zich voordoet, kunt u het probleem oplossen door het verkeer niet te controleren op wbx2.com en ciscospark.com .

                                                                                                                                                  Voldoen aan de vereisten voor hybride databeveiliging

                                                                                                                                                  Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
                                                                                                                                                  1

                                                                                                                                                  Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en ontvang de referenties van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

                                                                                                                                                  2

                                                                                                                                                  Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  3

                                                                                                                                                  Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt ten minste twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter zijn geplaatst en voldoen aan de vereisten in Vereisten voor virtuele host.

                                                                                                                                                  4

                                                                                                                                                  Bereid de databaseserver voor die zal fungeren als de belangrijkste gegevensopslag voor het cluster, overeenkomstig de vereisten voor de databaseserver. De databaseserver moet samen met de virtuele hosts in het beveiligde datacenter worden geplaatst.

                                                                                                                                                  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik de standaarddatabase niet. De HDS-toepassingen maken het databaseschema wanneer ze zijn geïnstalleerd.)

                                                                                                                                                  2. Verzamel de gegevens die de knooppunten gebruiken om met de databaseserver te communiceren:

                                                                                                                                                    • de hostnaam of het IP-adres (host) en de poort

                                                                                                                                                    • de naam van de database (dbname) voor key storage

                                                                                                                                                    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de database met sleutelopslag

                                                                                                                                                  5

                                                                                                                                                  Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben.

                                                                                                                                                  6

                                                                                                                                                  Stel een Syslog-host in om logboeken te verzamelen van de knooppunten in het cluster. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Maak een veilig back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.


                                                                                                                                                   

                                                                                                                                                  Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die worden gebruikt voor codering en decodering van inhoud, leidt het niet onderhouden van een operationele implementatie tot het ONHERSTELBARE VERLIES van die inhoud.

                                                                                                                                                  Clients van de Webex-app brengen hun sleutels in de cache, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen niet te voorkomen zijn, kunnen ze worden hersteld. Volledig verlies (geen back-ups beschikbaar) van de database of het ISO-configuratiebestand leidt echter tot niet-herstelbare klantgegevens. Van de beheerders van de knooppunten voor hybride databeveiliging wordt verwacht dat ze regelmatig back-ups van de database en het configuratie-ISO-bestand onderhouden, en dat ze bereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als er een catastrofale storing optreedt.

                                                                                                                                                  8

                                                                                                                                                  Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw hybride databeveiligingsknooppunten mogelijk maakt, zoals beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  9

                                                                                                                                                  Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft tot het besturingssysteem op http://127.0.0.1:8080.

                                                                                                                                                  U gebruikt het Docker-exemplaar om de HDS-installatietool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratie-informatie op voor alle knooppunten voor hybride databeveiliging. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker Desktop voor meer informatie.

                                                                                                                                                  Om de HDS-setuptool te installeren en uit te voeren, moet de lokale machine de connectiviteit hebben die wordt beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  10

                                                                                                                                                  Als u een proxy integreert met hybride databeveiliging, moet u ervoor zorgen dat deze voldoet aan de vereisten voor de proxyserver.

                                                                                                                                                  11

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, maakt u een groep in Active Directory met de naam HdsTrialGroup en voegt u pilootgebruikers toe. De proefgroep kan maximaal 250 gebruikers hebben. Het HdsTrialGroup -object moet worden gesynchroniseerd met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Als u een groepsobject wilt synchroniseren, selecteert u het in het menu Configuratie > Objectselectie van de directoryconnector. (Zie de Implementatiehandleiding voor Cisco Directoryconnector voor gedetailleerde instructies.)


                                                                                                                                                   

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Houd er bij het selecteren van pilootgebruikers rekening mee dat als u besluit de implementatie voor hybride databeveiliging permanent te deactiveren, alle gebruikers geen toegang meer hebben tot inhoud in de ruimten die door de pilootgebruikers zijn gemaakt. Het verlies wordt duidelijk zodra de apps van gebruikers hun in de cache opgeslagen kopieën van de inhoud vernieuwen.

                                                                                                                                                  Een cluster voor hybride databeveiliging instellen

                                                                                                                                                  Hybrid Data Security Deployment Task Flow

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  1

                                                                                                                                                  Download Installation Files

                                                                                                                                                  Download the OVA file to your local machine for later use.

                                                                                                                                                  2

                                                                                                                                                  Create a Configuration ISO for the HDS Hosts

                                                                                                                                                  Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes.

                                                                                                                                                  3

                                                                                                                                                  Install the HDS Host OVA

                                                                                                                                                  Create a virtual machine from the OVA file and perform initial configuration, such as network settings.


                                                                                                                                                   

                                                                                                                                                  The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

                                                                                                                                                  4

                                                                                                                                                  Set up the Hybrid Data Security VM

                                                                                                                                                  Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment.

                                                                                                                                                  5

                                                                                                                                                  Upload and Mount the HDS Configuration ISO

                                                                                                                                                  Configure the VM from the ISO configuration file that you created with the HDS Setup Tool.

                                                                                                                                                  6

                                                                                                                                                  Configureer het HDS-knooppunt voor proxy-integratie

                                                                                                                                                  If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed.

                                                                                                                                                  7

                                                                                                                                                  Register the First Node in the Cluster

                                                                                                                                                  Register the VM with the Cisco Webex cloud as a Hybrid Data Security node.

                                                                                                                                                  8

                                                                                                                                                  Create and Register More Nodes

                                                                                                                                                  Complete the cluster setup.

                                                                                                                                                  9

                                                                                                                                                  Run a Trial and Move to Production (next chapter)

                                                                                                                                                  Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

                                                                                                                                                  Download Installation Files

                                                                                                                                                  In this task, you download an OVA file to your machine (not to the servers you set up as Hybrid Data Security nodes). You use this file later in the installation process.
                                                                                                                                                  1

                                                                                                                                                  Sign in to https://admin.webex.com, and then click Services.

                                                                                                                                                  2

                                                                                                                                                  In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up.

                                                                                                                                                  If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.


                                                                                                                                                   

                                                                                                                                                  You can also download the OVA at any time from the Help section on the Settings page. On the Hybrid Data Security card, click Edit settings to open the page. Then, click Download Hybrid Data Security software in the Help section.


                                                                                                                                                   

                                                                                                                                                  Older versions of the software package (OVA) will not be compatible with the latest Hybrid Data Security upgrades. This can result in issues while upgrading the application. Make sure you download the latest version of the OVA file.

                                                                                                                                                  3

                                                                                                                                                  Select No to indicate that you haven’t set up the node yet, and then click Next.

                                                                                                                                                  The OVA file automatically begins to download. Save the file to a location on your machine.
                                                                                                                                                  4

                                                                                                                                                  Optionally, click Open Deployment Guide to check if there’s a later version of this guide available.

                                                                                                                                                  Create a Configuration ISO for the HDS Hosts

                                                                                                                                                  The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Control Hub-account met volledige beheerdersrechten voor uw organisatie vereist.

                                                                                                                                                    If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:

                                                                                                                                                    • Database credentials

                                                                                                                                                    • Certificate updates

                                                                                                                                                    • Changes to authorization policy

                                                                                                                                                  • If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.

                                                                                                                                                  1

                                                                                                                                                  Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

                                                                                                                                                  2

                                                                                                                                                  Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download de nieuwste stabiele afbeelding voor uw omgeving:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                  • In normale omgevingen zonder proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In regular environments with an HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  The Setup tool does not support connecting to localhost through http://localhost:8080. Use http://127.0.0.1:8080 to connect to localhost.

                                                                                                                                                  Use a web browser to go to the localhost, http://127.0.0.1:8080, and enter customer admin username for Control Hub at the prompt.

                                                                                                                                                  The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt.

                                                                                                                                                  7

                                                                                                                                                  When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  On the Setup Tool overview page, click Get Started.

                                                                                                                                                  9

                                                                                                                                                  On the ISO Import page, you have these options:

                                                                                                                                                  • No—If you’re creating your first HDS node, you don't have an ISO file to upload.
                                                                                                                                                  • Yes—If you already created HDS nodes, then you select your ISO file in the browse and upload it.
                                                                                                                                                  10

                                                                                                                                                  Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.

                                                                                                                                                  • If you never uploaded a certificate before, upload the X.509 certificate, enter the password, and click Continue.
                                                                                                                                                  • If your certificate is OK, click Continue.
                                                                                                                                                  • If your certificate has expired or you want to replace it, select No for Continue using HDS certificate chain and private key from previous ISO?. Upload a new X.509 certificate, enter the password, and click Continue.
                                                                                                                                                  11

                                                                                                                                                  Enter the database address and account for HDS to access your key datastore:

                                                                                                                                                  1. Select your Database Type (PostgreSQL or Microsoft SQL Server).

                                                                                                                                                    If you choose Microsoft SQL Server, you get an Authentication Type field.

                                                                                                                                                  2. (Microsoft SQL Server only) Select your Authentication Type:

                                                                                                                                                    • Basic Authentication: You need a local SQL Server account name in the Username field.

                                                                                                                                                    • Windows Authentication: You need a Windows account in the format username@DOMAIN in the Username field.

                                                                                                                                                  3. Enter the database server address in the form <hostname>:<port> or <IP-address>:<port>.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    dbhost.example.org:1433 or 198.51.100.17:1433

                                                                                                                                                    You can use an IP address for basic authentication, if the nodes can't use DNS to resolve the hostname.

                                                                                                                                                    If you are using Windows authentication, you must enter a Fully Qualified Domain Name in the format dbhost.example.org:1433

                                                                                                                                                  4. Enter the Database Name.

                                                                                                                                                  5. Enter the Username and Password of a user with all privileges on the key storage database.

                                                                                                                                                  12

                                                                                                                                                  Select a TLS Database Connection Mode:

                                                                                                                                                  Mode

                                                                                                                                                  Beschrijving

                                                                                                                                                  Prefer TLS (default option)

                                                                                                                                                  HDS-knooppunten vereisen geen TLS om verbinding te maken met de databaseserver. If you enable TLS on the database server, the nodes attempt an encrypted connection.

                                                                                                                                                  TLS verplichten

                                                                                                                                                  HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

                                                                                                                                                  TLS verplichten en certificaat ondertekenaar verifiëren


                                                                                                                                                   

                                                                                                                                                  This mode isn’t applicable for SQL Server databases.

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

                                                                                                                                                  • After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

                                                                                                                                                  Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

                                                                                                                                                  TLS verplichten en certificaat ondertekenaar en hostnaam verifiëren

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

                                                                                                                                                  • After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

                                                                                                                                                  • The nodes also verify that the hostname in the server certificate matches the hostname in the Database host and port field. De namen moeten exact overeenkomen, of de verbinding wordt door het knooppunt ingspunt laten merken.

                                                                                                                                                  Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

                                                                                                                                                  When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. De tool controleert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, wordt er een foutmelding weergegeven waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en doorgaan met de installatie. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.)

                                                                                                                                                  13

                                                                                                                                                  On the System Logs page, configure your Syslogd server:

                                                                                                                                                  1. Enter the syslog server URL.

                                                                                                                                                    If the server isn’t DNS-resolvable from the nodes for your HDS cluster, use an IP address in the URL.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    udp://10.92.43.23:514 indicates logging to Syslogd host 10.92.43.23 on UDP port 514.
                                                                                                                                                  2. If you set up your server to use TLS encryption, check Is your syslog server configured for SSL encryption?.

                                                                                                                                                    If you check this check box, make sure you enter a TCP URL such as tcp://10.92.43.23:514.

                                                                                                                                                  3. From the Choose syslog record termination drop-down, choose the appropriate setting for your ISO file: Choose or Newline is used for Graylog and Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Select this choice for Graylog and Rsyslog TCP.

                                                                                                                                                  4. Klik op Doorgaan.

                                                                                                                                                  14

                                                                                                                                                  (Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change:

                                                                                                                                                  app_datasource_connection_pool_maxGrootte: 10
                                                                                                                                                  15

                                                                                                                                                  Click Continue on the Reset Service Accounts Password screen.

                                                                                                                                                  Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files.

                                                                                                                                                  16

                                                                                                                                                  Click Download ISO File. Save the file in a location that's easy to find.

                                                                                                                                                  17

                                                                                                                                                  Make a backup copy of the ISO file on your local system.

                                                                                                                                                  Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes.

                                                                                                                                                  18

                                                                                                                                                  Als u de setuptool wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.


                                                                                                                                                   

                                                                                                                                                  We never have a copy of this key and can't help if you lose it.

                                                                                                                                                  Install the HDS Host OVA

                                                                                                                                                  Use this procedure to create a virtual machine from the OVA file.
                                                                                                                                                  1

                                                                                                                                                  Use the VMware vSphere client on your computer to log into the ESXi virtual host.

                                                                                                                                                  2

                                                                                                                                                  Select File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next.

                                                                                                                                                  4

                                                                                                                                                  On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next.

                                                                                                                                                  5

                                                                                                                                                  On the Select a compute resource page, choose the destination compute resource, and then click Next.

                                                                                                                                                  A validation check runs. After it finishes, the template details appear.

                                                                                                                                                  6

                                                                                                                                                  Verify the template details and then click Next.

                                                                                                                                                  7

                                                                                                                                                  If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next.

                                                                                                                                                  8

                                                                                                                                                  On the Select storage page, click Next to accept the default disk format and VM storage policy.

                                                                                                                                                  9

                                                                                                                                                  On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM.

                                                                                                                                                  10

                                                                                                                                                  On the Customize template page, configure the following network settings:

                                                                                                                                                  • Hostname—Enter the FQDN (hostname and domain) or a single word hostname for the node.

                                                                                                                                                     
                                                                                                                                                    • You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.

                                                                                                                                                    • To ensure a successful registration to the cloud, use only lowercase characters in the FQDN or hostname that you set for the node. Hoofdletters worden momenteel niet ondersteund.

                                                                                                                                                    • The total length of the FQDN must not exceed 64 characters.

                                                                                                                                                  • IP Address— Enter the IP address for the internal interface of the node.

                                                                                                                                                     

                                                                                                                                                    Your node should have an internal IP address and DNS name. DHCP is not supported.

                                                                                                                                                  • Mask—Enter the subnet mask address in dot-decimal notation. For example, 255.255.255.0.
                                                                                                                                                  • Gateway—Enter the gateway IP address. A gateway is a network node that serves as an access point to another network.
                                                                                                                                                  • DNS Servers—Enter a comma-separated list of DNS servers, which handle translating domain names to numeric IP addresses. (Up to 4 DNS entries are allowed.)
                                                                                                                                                  • NTP Servers—Enter your organization's NTP server or another external NTP server that can be used in your organization. The default NTP servers may not work for all enterprises. You can also use a comma-separated list to enter multiple NTP servers.
                                                                                                                                                  • Deploy all the nodes on the same subnet or VLAN, so that all nodes in a cluster are reachable from clients in your network for administrative purposes.

                                                                                                                                                  If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.


                                                                                                                                                   

                                                                                                                                                  The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

                                                                                                                                                  11

                                                                                                                                                  Right-click the node VM, and then choose Power > Power On.

                                                                                                                                                  The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node.

                                                                                                                                                  Tips voor probleemoplossing

                                                                                                                                                  You may experience a delay of a few minutes before the node containers come up. A bridge firewall message appears on the console during first boot, during which you can't sign in.

                                                                                                                                                  Set up the Hybrid Data Security VM

                                                                                                                                                  Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.

                                                                                                                                                  1

                                                                                                                                                  In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab.

                                                                                                                                                  The VM boots up and a login prompt appears. If the login prompt does not display, press Enter.
                                                                                                                                                  2

                                                                                                                                                  Use the following default login and password to sign in and change the credentials:

                                                                                                                                                  1. Login: beheer

                                                                                                                                                  2. Wachtwoord: Cisco

                                                                                                                                                  Since you are signing in to your VM for the first time, you are required to change the administrator password.

                                                                                                                                                  3

                                                                                                                                                  If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option.

                                                                                                                                                  4

                                                                                                                                                  Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported.

                                                                                                                                                  5

                                                                                                                                                  (Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy.

                                                                                                                                                  You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.

                                                                                                                                                  6

                                                                                                                                                  Save the network configuration and reboot the VM so that the changes take effect.

                                                                                                                                                  Upload and Mount the HDS Configuration ISO

                                                                                                                                                  Use this procedure to configure the virtual machine from the ISO file that you created with the HDS Setup Tool.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.

                                                                                                                                                  1

                                                                                                                                                  Upload the ISO file from your computer:

                                                                                                                                                  1. In the VMware vSphere client's left navigation pane, click on the ESXi server.

                                                                                                                                                  2. On the Configuration tab's Hardware list, click Storage.

                                                                                                                                                  3. In the Datastores list, right-click on the datastore for your VMs and click Browse Datastore.

                                                                                                                                                  4. Click on the Upload Files icon, and then click Upload File.

                                                                                                                                                  5. Browse to the location where you downloaded the ISO file on your computer and click Open.

                                                                                                                                                  6. Click Yes to accept the upload/download operation warning, and close the datastore dialog.

                                                                                                                                                  2

                                                                                                                                                  Mount the ISO file:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  2. Click OK to accept the restricted edit options warning.

                                                                                                                                                  3. Click CD/DVD Drive 1, select the option to mount from a datastore ISO file, and browse to the location where you uploaded the configuration ISO file.

                                                                                                                                                  4. Check Connected and Connect at power on.

                                                                                                                                                  5. Save your changes and reboot the virtual machine.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.

                                                                                                                                                  Configureer het HDS-knooppunt voor proxy-integratie

                                                                                                                                                  Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride gegevensbeveiliging. Als u een transparante inspectering proxy of een HTTPS-expliciete proxy kiest, kunt u de interface van het knooppunt gebruiken om de hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding vanuit de interface controleren en mogelijke problemen oplossen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  1

                                                                                                                                                  Voer de installatie-URL van het HDS-knooppunt https://[HDS node IP of FQDN]/Setup in een webbrowser in, voer de beheerders gegevens in die u hebt ingesteld voor het knooppunt en klik vervolgens op aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar vertrouwens archieven voor vertrouwde proxyen kies een optie:

                                                                                                                                                  • No Proxy—The default option before you integrate a proxy. Er is geen certificaat update vereist.
                                                                                                                                                  • Transparent Non-Inspecting Proxy—Nodes are not configured to use a specific proxy server address and should not require any changes to work with a non-inspecting proxy. Er is geen certificaat update vereist.
                                                                                                                                                  • Transparent Inspecting Proxy—Nodes are not configured to use a specific proxy server address. Er zijn geen wijzigingen in de HTTPS-configuratie nodig voor de implementatie van hybride data beveiliging, de HDS-knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).
                                                                                                                                                  • Explicit Proxy—With explicit proxy, you tell the client (HDS nodes) which proxy server to use, and this option supports several authentication types. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
                                                                                                                                                    1. Proxy IP/FQDN—Address that can be used to reach the proxy machine.

                                                                                                                                                    2. Proxy Port—A port number that the proxy uses to listen for proxied traffic.

                                                                                                                                                    3. Proxy Protocol—Choose http (views and controls all requests that are received from the client) or https (provides a channel to the server and the client receives and validates the server's certificate). Kies een optie op basis van wat uw proxyserver ondersteunt.

                                                                                                                                                    4. Authentication Type—Choose from among the following authentication types:

                                                                                                                                                      • None—No further authentication is required.

                                                                                                                                                        Beschikbaar voor HTTP-of HTTPS-proxy's.

                                                                                                                                                      • Basic—Used for an HTTP User Agent to provide a user name and password when making a request. Gebruikt base64-codering.

                                                                                                                                                        Beschikbaar voor HTTP-of HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                      • Digest—Used to confirm the account before sending sensitive information. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

                                                                                                                                                        Alleen beschikbaar voor HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                  Volg de volgende stappen voor een transparante inspectie proxy, een HTTP Explicit-proxy met basisverificatie of een HTTPS-expliciete proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik op een hoofdcertificaat of eindentiteit certificaat uploadenen navigeer vervolgens naar een kies de hoofdcertificaat voor de proxy.

                                                                                                                                                  Het certificaat is geüpload, maar is nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijlpunt punthaak op de naam van de certificaatuitgever voor meer informatie of klik op verwijderen Als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

                                                                                                                                                  4

                                                                                                                                                  Klik op proxy verbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

                                                                                                                                                  Als de verbindingstest mislukt, wordt er een foutbericht weergegeven met de reden en hoe u het probleem kunt oplossen.

                                                                                                                                                  Als u een bericht ziet dat de externe DNS-omzetting niet is geslaagd, kan het knooppunt de DNS-server niet bereiken. Deze situatie wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de geblokkeerde externe DNS-omzettingsmodus. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode.

                                                                                                                                                  5

                                                                                                                                                  Nadat de verbindingstest is geslaagd, voor expliciete proxy ingesteld op alleen https, schakelt u het in-/uitschakelen in om alle poort 443/444 HTTPS-aanvragen van dit knooppunt te routeren via de expliciete proxy. Deze instelling vereist 15 seconden om van kracht te worden.

                                                                                                                                                  6

                                                                                                                                                  Klik op alle certificaten installeren in het vertrouwde archief (wordt weergegeven voor een HTTPS-expliciete proxy of een transparante inspectie proxy) of opnieuw opstarten (wordt weergegeven voor een http-expliciete proxy), lees de prompt en klik vervolgens op installeren Als u klaar bent.

                                                                                                                                                  Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

                                                                                                                                                  7

                                                                                                                                                  Nadat het knooppunt opnieuw is opgestart, meldt u zich opnieuw aan indien nodig en opent u de overzichts pagina om te controleren of ze allemaal in de groene status zijn.

                                                                                                                                                  De controle van de proxyverbinding test alleen een subdomein van webex.com. Als er problemen zijn met de verbinding, is een veelvoorkomend probleem dat sommige Cloud domeinen die worden vermeld in de installatie-instructies, worden geblokkeerd op de proxy.

                                                                                                                                                  Register the First Node in the Cluster

                                                                                                                                                  This task takes the generic node that you created in the Set up the Hybrid Data Security VM, registers the node with the Webex cloud, and turns it into a Hybrid Data Security node.

                                                                                                                                                  When you register your first node, you create a cluster to which the node is assigned. A cluster contains one or more nodes deployed to provide redundancy.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.

                                                                                                                                                  • Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  From the menu on the left side of the screen, select Services.

                                                                                                                                                  3

                                                                                                                                                  In the Hybrid Services section, find Hybrid Data Security and click Set up.

                                                                                                                                                  The Register Hybrid Data Security Node page appears.
                                                                                                                                                  4

                                                                                                                                                  Select Yes to indicate that you have set up the node and are ready to register it, and then click Next.

                                                                                                                                                  5

                                                                                                                                                  In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node.

                                                                                                                                                  We recommend that you name a cluster based on where the nodes of the cluster are located geographically. Examples: "San Francisco" or "New York" or "Dallas"

                                                                                                                                                  6

                                                                                                                                                  In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next.

                                                                                                                                                  This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM.

                                                                                                                                                  A message appears indicating you can register your node to the Webex.
                                                                                                                                                  7

                                                                                                                                                  Click Go to Node.

                                                                                                                                                  8

                                                                                                                                                  Click Continue in the warning message.

                                                                                                                                                  After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
                                                                                                                                                  9

                                                                                                                                                  Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue.

                                                                                                                                                  Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
                                                                                                                                                  10

                                                                                                                                                  Click the link or close the tab to go back to the Control Hub Hybrid Data Security page.

                                                                                                                                                  On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.

                                                                                                                                                  Create and Register More Nodes

                                                                                                                                                  To add additional nodes to your cluster, you simply create additional VMs and mount the same configuration ISO file, then register the node. We recommend that you have at least 3 nodes.

                                                                                                                                                   

                                                                                                                                                  At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.

                                                                                                                                                  • Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM.

                                                                                                                                                  3

                                                                                                                                                  On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node.

                                                                                                                                                  5

                                                                                                                                                  Register the node.

                                                                                                                                                  1. In https://admin.webex.com, select Services from the menu on the left side of the screen.

                                                                                                                                                  2. In the Hybrid Services section, find the Hybrid Data Security card and click Resources.

                                                                                                                                                    The Hybrid Data Security Resources page appears.
                                                                                                                                                  3. Click Add Resource.

                                                                                                                                                  4. In the first field, select the name of your existing cluster.

                                                                                                                                                  5. In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next.

                                                                                                                                                    A message appears indicating you can register your node to the Webex cloud.
                                                                                                                                                  6. Click Go to Node.

                                                                                                                                                    After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your organization to access your node.
                                                                                                                                                  7. Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue.

                                                                                                                                                    Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
                                                                                                                                                  8. Click the link or close the tab to go back to the Control Hub Hybrid Data Security page.

                                                                                                                                                  Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Run a Trial and Move to Production (next chapter)
                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie

                                                                                                                                                  Doorstroom proefperiode naar productietaak

                                                                                                                                                  Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers toevoegen en deze gaan gebruiken om uw implementatie te testen en te verifiëren ter voorbereiding op de overgang naar productie.

                                                                                                                                                  1

                                                                                                                                                  Synchroniseer indien van toepassing het groepsobject HdsTrialGroup .

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u het groepsobject HdsTrialGroup selecteren voor synchronisatie naar de cloud voordat u een proefperiode kunt starten. Voor instructies raadpleegt u de Implementatiehandleiding voor Cisco Directoryconnector.

                                                                                                                                                  2

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd.

                                                                                                                                                  3

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Controleer of belangrijke aanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Controleer de status en stel e-mailmeldingen in voor alarmen.

                                                                                                                                                  5

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  6

                                                                                                                                                  Voltooi de onderzoeksfase met een van de volgende acties:

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u het groepsobject HdsTrialGroup selecteren voor synchronisatie met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Voor instructies raadpleegt u de Implementatiehandleiding voor Cisco Directoryconnector.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Proefperiode starten.

                                                                                                                                                  De servicestatus verandert in de proefmodus.
                                                                                                                                                  4

                                                                                                                                                  Klik op Gebruikers toevoegen en voer het e-mailadres van een of meer gebruikers in om uw knooppunten voor hybride databeveiliging te gebruiken voor codering- en indexeringsservices.

                                                                                                                                                  (Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory om de proefgroep HdsTrialGroup te beheren.)

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging te testen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Stel uw implementatie voor hybride databeveiliging in.

                                                                                                                                                  • Activeer de proefperiode en voeg verschillende proefgebruikers toe.

                                                                                                                                                  • Zorg ervoor dat u toegang hebt tot de syslog om te controleren of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilootgebruikers en maak vervolgens een ruimte en nodig ten minste één pilootgebruiker en één niet-pilootgebruiker uit.


                                                                                                                                                   

                                                                                                                                                  Als u de implementatie van hybride databeveiliging deactiveert, is inhoud in ruimten die pilootgebruikers maken niet meer toegankelijk zodra de in de client opgeslagen kopieën van de coderingssleutels zijn vervangen.

                                                                                                                                                  2

                                                                                                                                                  Verzend berichten naar de nieuwe ruimte.

                                                                                                                                                  3

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de sleutelaanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1. Als u wilt controleren of een gebruiker eerst een veilig kanaal naar de KMS heeft ingesteld, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden, zoals de volgende (identificatiegegevens ingekort voor leesbaarheid):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] ontvangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKind: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om te controleren of een gebruiker een bestaande sleutel aanvraagt bij de KMS, filteren op kms.data.method=retrieve en kms.data.type=KEY:

                                                                                                                                                    U zoekt naar een invoer die er als volgt uitziet:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] ontvangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKind: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Om te controleren of een gebruiker een nieuwe KMS-sleutel aanmaakt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

                                                                                                                                                    U zoekt naar een invoer die er als volgt uitziet:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] ontvangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKind: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Als u wilt controleren of een gebruiker die het maken van een nieuw KMS Resource Object (KRO) aanvraagt wanneer een ruimte of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    U zoekt naar een invoer die er als volgt uitziet:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] ontvangen, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKind: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Een statusindicator in Control Hub geeft aan of alles goed gaat met de implementatie van hybride databeveiliging. Meld u aan voor e-mailmeldingen voor meer proactieve waarschuwingen. U krijgt een melding wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
                                                                                                                                                  1

                                                                                                                                                  Selecteer in Control HubServices in het menu links op het scherm.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellingen.

                                                                                                                                                  De pagina Instellingen voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3

                                                                                                                                                  Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen gescheiden door komma's en druk op Enter.

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  Nadat u een proefperiode hebt geactiveerd en de eerste set proefgebruikers hebt toegevoegd, kunt u op elk gewenst moment leden van de proefperiode toevoegen of verwijderen terwijl de proefperiode actief is.

                                                                                                                                                  Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker om sleutels en sleutels te maken vanuit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die is opgeslagen op uw KMS, zal de cloud-KMS deze namens de gebruiker ophalen.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep HdsTrialGroup te beheren. U kunt de groepsleden weergeven in Control Hub, maar u kunt ze niet toevoegen of verwijderen.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Proefmodus van het gebied Servicestatus op Gebruikers toevoegen of klik op weergeven en bewerken om gebruikers uit de proefperiode te verwijderen.

                                                                                                                                                  4

                                                                                                                                                  Voer het e-mailadres in van een of meer gebruikers die u wilt toevoegen of klik op de X met een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan.

                                                                                                                                                  Overstappen van proefperiode naar productie

                                                                                                                                                  Als u er zeker van bent dat uw implementatie goed werkt voor de gebruikers van de proefperiode, kunt u overgaan naar productie. Wanneer u naar productie gaat, gebruiken alle gebruikers in de organisatie uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. U kunt niet teruggaan naar de proefmodus vanuit de productie, tenzij u de service deactiveert als onderdeel van noodherstel. Als u de service opnieuw activeert, moet u een nieuwe proefperiode instellen.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Verplaatsen naar productie.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u al uw gebruikers naar de productie wilt verplaatsen.

                                                                                                                                                  Uw proefperiode beëindigen zonder over te stappen naar productie

                                                                                                                                                  Als u tijdens uw proefperiode besluit om niet door te gaan met uw implementatie van Hybride databeveiliging, kunt u Hybride databeveiliging deactiveren. Hiermee wordt de proefperiode beëindigd en worden de proefgebruikers weer verplaatst naar de cloudservices voor databeveiliging. De gebruikers van de proefperiode verliezen toegang tot de gegevens die tijdens de proefperiode zijn gecodeerd.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Deactiveren op Deactiveren.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u de service wilt deactiveren en beëindig de proefperiode.

                                                                                                                                                  Uw HDS-implementatie beheren

                                                                                                                                                  HDS-implementatie beheren

                                                                                                                                                  Gebruik de taken die hier worden beschreven om uw implementatie voor hybride databeveiliging te beheren.

                                                                                                                                                  Upgradeschema voor cluster instellen

                                                                                                                                                  Software-upgrades voor hybride databeveiliging worden automatisch uitgevoerd op clusterniveau, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens het upgradeschema voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie om de cluster handmatig te upgraden vóór de geplande upgradetijd. U kunt een specifiek upgradeschema instellen of het standaardschema van 3:00 AM Daily Verenigde Staten gebruiken: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

                                                                                                                                                  De upgradeplanning instellen:

                                                                                                                                                  1

                                                                                                                                                  Meld u aan Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Klik op de pagina Overzicht onder Hybride services op Hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Selecteer het cluster op de pagina Resources voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Selecteer in het deelvenster Overzicht aan de rechterkant onder Clusterinstellingen de clusternaam.

                                                                                                                                                  5

                                                                                                                                                  Selecteer op de pagina Instellingen onder Upgraden de tijd en tijdzone voor het upgradeschema.

                                                                                                                                                  Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen naar de volgende dag door op Uitstellen te klikken.

                                                                                                                                                  De knooppuntconfiguratie wijzigen

                                                                                                                                                  Soms moet u de configuratie van uw knooppunt voor hybride databeveiliging wijzigen vanwege een bijvoorbeeld:
                                                                                                                                                  • X.509-certificaten wijzigen vanwege vervaldatum of andere redenen.


                                                                                                                                                     

                                                                                                                                                    We ondersteunen het wijzigen van de CN-domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om de cluster te registreren.

                                                                                                                                                  • Database-instellingen bijwerken om te wijzigen in een kopie van de PostgreSQL- of Microsoft SQL Server-database.


                                                                                                                                                     

                                                                                                                                                    We ondersteunen het migreren van gegevens van PostgreSQL naar Microsoft SQL Server niet, of op de omgekeerde manier. Als u wilt schakelen tussen de databaseomgevingen, moet u een nieuwe implementatie van hybride databeveiliging starten.

                                                                                                                                                  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

                                                                                                                                                  Bovendien gebruikt Hybride databeveiliging voor beveiligingsdoeleinden wachtwoorden voor serviceaccounts die een levensduur van negen maanden hebben. Nadat de HDS-setuptool deze wachtwoorden heeft gegenereerd, implementeert u deze in uw HDS-knooppunten in het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een melding van het Webex-team om het wachtwoord voor uw machineaccount opnieuw in te stellen. (Het e-mailbericht bevat de tekst: 'Gebruik het machineaccount API om het wachtwoord bij te werken.') Als uw wachtwoord nog niet is verlopen, geeft de tool u twee opties:

                                                                                                                                                  • Soft reset: de oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO-bestand op de knooppunten stapsgewijs te vervangen.

                                                                                                                                                  • Harde reset: de oude wachtwoorden werken niet meer onmiddellijk.

                                                                                                                                                  Als uw wachtwoorden verlopen zonder opnieuw in te stellen, is dit van invloed op uw HDS-service, waarvoor onmiddellijke harde reset en vervanging van het ISO-bestand op alle knooppunten nodig is.

                                                                                                                                                  Gebruik deze procedure om een nieuw ISO-configuratiebestand te genereren en dit toe te passen op uw cluster.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Control Hub-account met volledige beheerdersrechten voor uw organisatie vereist.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container opent in 1.e. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel voor de versleuteling van PostgreSQL of Microsoft SQL Server-database. U hebt de ISO nodig wanneer u configuratiewijzigingen aan aanbrengen, waaronder databasereferenties, certificaatupdates of wijzigingen aan autorisatiebeleid.

                                                                                                                                                  1

                                                                                                                                                  Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

                                                                                                                                                  1. Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stabiel

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stabiel

                                                                                                                                                     

                                                                                                                                                    Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

                                                                                                                                                  2. Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download de nieuwste stabiele afbeelding voor uw omgeving:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stabiel

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 hebben niet de schermen voor het opnieuw instellen van wachtwoorden.

                                                                                                                                                  5. Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                    • In normale omgevingen zonder proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

                                                                                                                                                  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  7. Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de klant van Control Hub in en klikt u vervolgens op Accepteren om door te gaan.

                                                                                                                                                  8. Importeer het huidige ISO-configuratiebestand.

                                                                                                                                                  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

                                                                                                                                                    Als u de setuptool wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

                                                                                                                                                  2

                                                                                                                                                  Als er slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor het knooppunt voor hybride databeveiliging en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

                                                                                                                                                  1. Installeer de HDS-host-OVA.

                                                                                                                                                  2. Stel de HDS-VM in.

                                                                                                                                                  3. Koppel het bijgewerkte configuratiebestand.

                                                                                                                                                  4. Registreer het nieuwe knooppunt in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Voor bestaande HDS-knooppunten waar het oudere configuratiebestand op wordt uitgevoerd, moet u het ISO-bestand onder brengen. Voer de volgende procedure uit op elk knooppunt. Werk elk knooppunt bij voordat u het volgende knooppunt uit schakelen:

                                                                                                                                                  1. Schakel de virtuele machine uit.

                                                                                                                                                  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  3. Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

                                                                                                                                                  4. Schakel het selectievakje Verbinding maken na inschakelen in.

                                                                                                                                                  5. Sla uw wijzigingen op en schakel de virtuele machine in.

                                                                                                                                                  4

                                                                                                                                                  Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

                                                                                                                                                  Geblokkeerde externe DNS-omzettingsmodus uitschakelen

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. Als de DNS-server van het knooppunt geen publieke DNS-namen kan omzetten, wordt het knooppunt automatisch in de geblokkeerde externe DNS-omzettingsmodus geplaatst.

                                                                                                                                                  Als uw knooppunten publieke DNS-namen kunnen omzetten via interne DNS-servers, kunt u deze modus uitschakelen door de proxy verbindingstest opnieuw uit te voeren op elk knooppunt.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Zorg ervoor dat uw interne DNS-servers publieke DNS-namen kunnen omzetten en dat uw knooppunten met hen kunnen communiceren.
                                                                                                                                                  1

                                                                                                                                                  Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/instellingen, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar overzicht (de standaardpagina).

                                                                                                                                                  Indien ingeschakeld, wordt de geblokkeerde externe DNS-omzetting ingesteld op Ja.

                                                                                                                                                  3

                                                                                                                                                  Ga naar de pagina vertrouwde winkel >-proxy .

                                                                                                                                                  4

                                                                                                                                                  Klik op proxy verbinding controleren.

                                                                                                                                                  Als er een bericht wordt weergegeven met de melding dat de externe DNS-omzetting niet is geslaagd, is het knooppunt niet in staat om de DNS-server te bereiken en blijft deze in deze modus. Anders moet de geblokkeerde externe DNS-omzetting worden ingesteld op Nee als u het knooppunt opnieuw hebt opgestart en teruggaat naar de overzichtspagina.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Herhaal de proxy verbindingstest op elk knooppunt in uw cluster voor hybride data beveiliging.

                                                                                                                                                  Een knooppunt verwijderen

                                                                                                                                                  Gebruik deze procedure om een knooppunt voor hybride databeveiliging uit de Webex-cloud te verwijderen. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en de virtuele machine uit te schakelen.

                                                                                                                                                  2

                                                                                                                                                  Verwijder het knooppunt:

                                                                                                                                                  1. Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources voor hybride databeveiliging weer te geven.

                                                                                                                                                  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

                                                                                                                                                  4. Klik op Knooppuntenlijst openen.

                                                                                                                                                  5. Selecteer op het tabblad Knooppunten het knooppunt dat u wilt verwijderen.

                                                                                                                                                  6. Klik op Actions > Deregister node.

                                                                                                                                                  3

                                                                                                                                                  Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

                                                                                                                                                  Als u de VM niet verwijdert, moet u het ISO-configuratiebestand loskoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken om toegang te krijgen tot uw beveiligingsgegevens.

                                                                                                                                                  Noodherstel met behulp van het stand-bydatacenter

                                                                                                                                                  De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt voor het coderen van berichten en andere inhoud die in de Webex-cloud is opgeslagen. Voor elke gebruiker binnen de organisatie die is toegewezen aan hybride databeveiliging, worden nieuwe aanvragen voor het maken van sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de sleutels die zijn gemaakt aan gebruikers die bevoegd zijn om ze op te halen, bijvoorbeeld leden van een gespreksruimte.

                                                                                                                                                  Omdat het cluster de kritieke functie van het leveren van deze sleutels vervult, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden behouden. Verlies van de database met hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van inhoud van de klant. De volgende praktijken zijn verplicht om een dergelijk verlies te voorkomen:

                                                                                                                                                  Als door een calamiteit de HDS-implementatie in het primaire datacenter niet meer beschikbaar is, volgt u deze procedure om handmatig te failover te gaan naar het stand-bydatacenter.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Op de pagina Geavanceerde instellingen voegt u de onderstaande configuratie toe of verwijdert u de configuratie passiveMode om het knooppunt actief te maken. Het knooppunt kan het verkeer afhandelen zodra dit is geconfigureerd.

                                                                                                                                                   passiveMode: 'onwaar' 

                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de knooppunten van het stand-bydatacenter zich niet in de passieve modus bevinden. 'KMS geconfigureerd in de passieve modus' mag niet worden weergegeven in de syslogs.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als na failover het primaire datacenter weer actief wordt, plaatst u het stand-bydatacenter opnieuw in de passieve modus door de stappen te volgen die worden beschreven in Setup Standby Data Center for Disaster Recovery.

                                                                                                                                                  (Optioneel) ISO loskoppelen na HDS-configuratie

                                                                                                                                                  De standaard HDS-configuratie wordt uitgevoerd met de ISO gemonteerd. Maar sommige klanten geven er de voorkeur aan ISO-bestanden niet continu gemonteerd achter te laten. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

                                                                                                                                                  U gebruikt de ISO-bestanden nog steeds om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de installatietool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra al uw knooppunten de configuratiewijzigingen hebben overgenomen, kunt u de ISO opnieuw loskoppelen met deze procedure.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

                                                                                                                                                  1

                                                                                                                                                  Sluit een van uw HDS-knooppunten af.

                                                                                                                                                  2

                                                                                                                                                  Selecteer het HDS-knooppunt in het vCenter-serverapparaat.

                                                                                                                                                  3

                                                                                                                                                  Kies Edit Settings > CD/DVD drive en schakel Datastore ISO File uit.

                                                                                                                                                  4

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 20 minuten geen alarmen zijn.

                                                                                                                                                  5

                                                                                                                                                  Herhaal dit om de beurt voor elk HDS-knooppunt.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Waarschuwingen en problemen weergeven

                                                                                                                                                  Een implementatie voor hybride databeveiliging wordt als onbeschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als het cluster zo langzaam werkt dat er een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

                                                                                                                                                  • Nieuwe ruimten kunnen niet worden gemaakt (kan geen nieuwe sleutels maken)

                                                                                                                                                  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

                                                                                                                                                    • Nieuwe gebruikers toegevoegd aan een ruimte (kan geen toetsen ophalen)

                                                                                                                                                    • Bestaande gebruikers in een ruimte met een nieuwe client (kan geen sleutels ophalen)

                                                                                                                                                  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

                                                                                                                                                  Het is belangrijk dat u uw cluster voor hybride databeveiliging goed bewaakt en alle waarschuwingen onmiddellijk aanpakt om onderbrekingen van de service te voorkomen.

                                                                                                                                                  Waarschuwingen

                                                                                                                                                  Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen aan de organisatiebeheerder weer en worden e-mails naar het geconfigureerde e-mailadres verzonden. De waarschuwingen behandelen veel voorkomende scenario's.

                                                                                                                                                  Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

                                                                                                                                                  Waarschuwing

                                                                                                                                                  Actie

                                                                                                                                                  Lokale databasetoegang mislukt.

                                                                                                                                                  Controleer op databasefouten of problemen met het lokale netwerk.

                                                                                                                                                  Lokale databaseverbinding mislukt.

                                                                                                                                                  Controleer of de databaseserver beschikbaar is en of de juiste serviceaccountgegevens zijn gebruikt in de knooppuntconfiguratie.

                                                                                                                                                  Toegang tot cloudservice mislukt.

                                                                                                                                                  Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Externe verbindingsvereisten.

                                                                                                                                                  Cloudserviceregistratie vernieuwen.

                                                                                                                                                  Registratie bij cloudservices is geschrapt. De registratie wordt vernieuwd.

                                                                                                                                                  Registratie van cloudservice is verbroken.

                                                                                                                                                  Registratie voor cloudservices is beëindigd. De service wordt afgesloten.

                                                                                                                                                  Service nog niet geactiveerd.

                                                                                                                                                  Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie.

                                                                                                                                                  Het geconfigureerde domein komt niet overeen met het servercertificaat.

                                                                                                                                                  Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

                                                                                                                                                  De meest waarschijnlijke oorzaak is dat de CN van het certificaat onlangs is gewijzigd en nu verschilt van de CN die tijdens de eerste installatie is gebruikt.

                                                                                                                                                  Kan niet verifiëren bij cloudservices.

                                                                                                                                                  Controleer of de gegevens van het serviceaccount correct zijn en mogelijk verlopen.

                                                                                                                                                  Kan lokaal keystore-bestand niet openen.

                                                                                                                                                  Controleer op integriteit en nauwkeurigheid van het wachtwoord in het lokale keystore-bestand.

                                                                                                                                                  Lokaal servercertificaat is ongeldig.

                                                                                                                                                  Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

                                                                                                                                                  Kan statistieken niet plaatsen.

                                                                                                                                                  Controleer de toegang van het lokale netwerk tot externe cloudservices.

                                                                                                                                                  /media/configdrive/hds directory bestaat niet.

                                                                                                                                                  Controleer de ISO-montageconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om opnieuw op te starten en of het met succes wordt geïnstalleerd.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met hybride databeveiliging.
                                                                                                                                                  1

                                                                                                                                                  Controleer Control Hub op waarschuwingen en los alle items op die u daar vindt.

                                                                                                                                                  2

                                                                                                                                                  Controleer de uitvoer van de syslog-server voor activiteit vanuit de implementatie voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Neem contact op met de Cisco-ondersteuning.

                                                                                                                                                  Andere opmerkingen

                                                                                                                                                  Bekende problemen voor hybride databeveiliging

                                                                                                                                                  • Als u uw cluster voor hybride databeveiliging afsluit (door het te verwijderen in Control Hub of door alle knooppunten af te sluiten), uw configuratie-ISO-bestand verliest of toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst met personen die zijn gemaakt met toetsen van uw KMS. Dit geldt zowel voor proefperioden als voor productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en dringen er bij u op aan om uw HDS-services niet af te sluiten zodra ze actieve gebruikersaccounts afhandelen.

                                                                                                                                                  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een periode (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefperiode voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken tot er een time-out optreedt. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact opneemt voor coderingssleutels.

                                                                                                                                                    Hetzelfde gedrag treedt op wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle niet-proefgebruikers met bestaande ECDH-verbindingen met de vorige gegevensbeveiligingsservices blijven deze services gebruiken totdat er opnieuw wordt onderhandeld over de ECDH-verbinding (via time-out of door afmelden en weer aanmelden).

                                                                                                                                                  OpenSSL gebruiken om een PKCS12-bestand te genereren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS-installatietool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten niet op de een of andere manier.

                                                                                                                                                  • Als u ervoor kiest om OpenSSL te gebruiken, bieden we deze procedure aan als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

                                                                                                                                                  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

                                                                                                                                                  • Maak een privésleutel.

                                                                                                                                                  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificeringsinstantie (CA).

                                                                                                                                                  1

                                                                                                                                                  Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Geef het certificaat weer als tekst en controleer de details.

                                                                                                                                                  openssl x509 -tekst -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Gebruik een tekstverwerker om een certificaatbundelbestand te maken met de naam hdsnode-bundle.pem. Het bundelbestand moet het servercertificaat, eventuele tussentijdse CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

                                                                                                                                                  -----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----

                                                                                                                                                  4

                                                                                                                                                  Maak het .p12-bestand met de vriendelijke naam kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controleer de gegevens van het servercertificaat.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Voer een wachtwoord in om de privésleutel te coderen, zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de lijnen friendlyName bevatten: km-privésleutel.

                                                                                                                                                    Voorbeeld:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Invoerwachtwoord invoeren: Kenmerken OK-zak geverifieerd door MAC friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Sleutelattributen:  Voer de PEM-wachtwoordzin in: Verifiëren: voer de PEM-wachtwoordzin in: -----BEGIN GECODEERDE PRIVÉSLEUTEL-----  -----END GECODEERDE PRIVÉSLEUTEL----- Zakattributen friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Bag Attributes friendlyNaam: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE-----

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Ga terug naar Vereisten voor hybride databeveiliging voltooien. U gebruikt het bestand hdsnode.p12 en het wachtwoord dat u ervoor hebt ingesteld in Een configuratie-ISO maken voor de HDS-hosts.


                                                                                                                                                   

                                                                                                                                                  U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

                                                                                                                                                  Verkeer tussen de HDS-knooppunten en de cloud

                                                                                                                                                  Verkeer voor verzameling uitgaande statistieken

                                                                                                                                                  De knooppunten voor hybride databeveiliging sturen bepaalde statistieken naar de Webex-cloud. Dit zijn onder andere systeemstatistieken voor de maximale heap, gebruikte heap, CPU-belasting en draadtelling; statistieken over synchrone en asynchrone threads; statistieken over waarschuwingen met een drempelwaarde voor coderingsverbindingen, latentie of de lengte van een aanvraagwachtrij; statistieken over de gegevensopslag; en coderingsverbindingsstatistieken. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (gescheiden van het verzoekkanaal).

                                                                                                                                                  Inkomend verkeer

                                                                                                                                                  De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer vanuit de Webex-cloud:

                                                                                                                                                  • Coderingsverzoeken van clients die door de coderingsservice worden gerouteerd

                                                                                                                                                  • Upgrades naar de knooppuntsoftware

                                                                                                                                                  Het configureren van inktvis-Proxy's voor hybride data beveiliging

                                                                                                                                                  WebSocket kan geen verbinding maken via de inktvis-proxy

                                                                                                                                                  Squid-proxy's die HTTPS-verkeer inspecteren, kunnen interfereren met het tot stand brengen van websocket-verbindingen (wss:) die Hybride databeveiliging vereist. Deze secties bevatten leidraden voor het configureren van verschillende versies van inktvis om WSS te negeren: verkeer voor de juiste werking van de services.

                                                                                                                                                  Pijlinktvis 4 en 5

                                                                                                                                                  Voeg de on_unsupported_protocol richtlijn toe aan squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel alle

                                                                                                                                                  Inktvis 3.5.27

                                                                                                                                                  De hybride gegevensbeveiliging is getest met de volgende regels die zijn toegevoegd aan inktvis. conf. Deze regels kunnen worden gewijzigd wanneer we functies ontwikkelen en de Webex Cloud bijwerken.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
                                                                                                                                                  Voorwoord

                                                                                                                                                  Nieuwe en gewijzigde informatie

                                                                                                                                                  Datum

                                                                                                                                                  Aangebrachte wijzigingen

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augustus 2023

                                                                                                                                                  23 mei 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker Desktop.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  U kunt het bestand met de privésleutel en de CSR opnieuw gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie.

                                                                                                                                                  30 april 2021

                                                                                                                                                  De VM-vereiste voor lokale harde schijfruimte is gewijzigd in 30 GB. Zie Vereisten voor virtuele host voor meer informatie.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  De HDS-installatietool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO maken voor de HDS-hosts voor meer informatie.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu worden uitgevoerd zonder een gemonteerd ISO-bestand. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Informatie toegevoegd over het hulpprogramma HDS-instellingen en proxy's om een configuratie-ISO voor de HDS-hosts te maken.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Bijgewerkte Installatiebestanden downloaden.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt.

                                                                                                                                                  14 augustus 2020

                                                                                                                                                  De configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces.

                                                                                                                                                  5 augustus 2020

                                                                                                                                                  Bijgewerkte Test uw implementatie voor hybride databeveiliging voor wijzigingen in logboekberichten.

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om het maximale aantal hosts te verwijderen.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Bijgewerkt Een knooppunt verwijderen voor wijzigingen in de gebruikersinterface van Control Hub.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  De ISO voor configuratie maken voor de HDS-hosts is bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk hebt ingesteld.

                                                                                                                                                  29 mei 2020

                                                                                                                                                  Bijgewerkt: maak een configuratie-ISO voor de HDS-hosts om aan te geven dat u ook TLS kunt gebruiken met SQL Server-databases, gebruikersgebruikerswijzigingen en andere verduidelijkingen.

                                                                                                                                                  5 mei 2020

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om de nieuwe vereisten voor ESXi 6.5 weer te geven.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met nieuwe Americas CI-hosts.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met informatie over regionale CI-hosts.

                                                                                                                                                  20 februari 2020Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met informatie over het nieuwe optionele scherm Geavanceerde instellingen in de HDS-installatietool.
                                                                                                                                                  4 februari 2020Proxyserververeisten bijgewerkt.
                                                                                                                                                  16 december 2019De vereiste voor geblokkeerde externe DNS-resolutiemodus is verduidelijkt om te werken in de vereisten voor de proxyserver.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende gedeelten:

                                                                                                                                                  8 november 2019

                                                                                                                                                  U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van erna.

                                                                                                                                                  De volgende gedeelten zijn dienovereenkomstig bijgewerkt:


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Standaard SQL-server toegevoegd aan vereisten voor databaseserver.

                                                                                                                                                  29 augustus 2019Bijlage Squid-proxy's configureren voor hybride databeveiliging toegevoegd met richtlijnen voor het configureren van squid-proxy's om websocketverkeer te negeren voor een goede werking.
                                                                                                                                                  20 augustus 2019

                                                                                                                                                  Er zijn gedeelten toegevoegd en bijgewerkt voor proxyondersteuning voor communicatie van knooppunten voor hybride databeveiliging naar de Webex-cloud.

                                                                                                                                                  Zie het Help-artikel Proxy-ondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie.

                                                                                                                                                  13 juni 2019Bijgewerkte Trial to Production Task Flow met een herinnering om de HdsTrialGroup groepsobject voordat een proefperiode wordt gestart als uw organisatie adreslijstsynchronisatie gebruikt.
                                                                                                                                                  6 maart 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • De hoeveelheid lokale harde schijfruimte per server die u opzij moet zetten bij het voorbereiden van de virtuele hosts die de knooppunten voor hybride databeveiliging worden, van 50 GB tot 20 GB, is gecorrigeerd om de grootte van de schijf weer te geven die door de OVA wordt gemaakt.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Knooppunten voor hybride databeveiliging ondersteunen nu gecodeerde verbindingen met PostgreSQL-databaseservers en gecodeerde logboekverbindingen met een TLS-compatibele syslog-server. Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met instructies.

                                                                                                                                                  • De bestemmings-URL's zijn verwijderd uit de tabel 'Vereisten voor internetconnectiviteit voor hybride gegevensbeveiligingsknooppunt VM's'. De tabel verwijst nu naar de lijst die wordt bijgehouden in de tabel 'Aanvullende URL's voor hybride services van Webex Teams' van Netwerkvereisten voor Webex Teams-services.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybride databeveiliging ondersteunt nu Microsoft SQL Server als database. SQL Server Always On (Always On Failover Clusters en Always on Availability Groups) wordt ondersteund door de JDBC-stuurprogramma's die worden gebruikt in hybride databeveiliging. Er is inhoud toegevoegd met betrekking tot implementatie met SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ondersteuning voor Microsoft SQL Server is alleen bedoeld voor nieuwe implementaties van Hybride databeveiliging. We ondersteunen momenteel geen migratie van gegevens van PostgreSQL naar Microsoft SQL Server in een bestaande implementatie.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 mei 2018

                                                                                                                                                  Gewijzigde terminologie om de rebranding van Cisco Spark weer te geven:

                                                                                                                                                  • Cisco Spark hybride databeveiliging is nu hybride databeveiliging.

                                                                                                                                                  • De Cisco Spark-app is nu de Webex-app.

                                                                                                                                                  • De Cisco Collaboraton Cloud is nu de Webex-cloud.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • In de tabel X.509-certificaatvereisten is gespecificeerd dat het certificaat geen jokercertificaat kan zijn en dat de KMS het CN-domein gebruikt, niet een domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Adreslijstsynchronisatie van de HdsTrialGroup is verduidelijkt.

                                                                                                                                                  • Vaste instructies voor het uploaden van het ISO-configuratiebestand voor montage op de VM-knooppunten.

                                                                                                                                                  18 augustus 2017

                                                                                                                                                  Voor het eerst gepubliceerd

                                                                                                                                                  Aan de slag met hybride databeveiliging

                                                                                                                                                  Overzicht van hybride databeveiliging

                                                                                                                                                  Vanaf dag één is gegevensbeveiliging de belangrijkste focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end-inhoudcodering, ingeschakeld door clients van de Webex-app die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografische sleutels die clients gebruiken om berichten en bestanden dynamisch te versleutelen en te decoderen.

                                                                                                                                                  Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride databeveiliging verplaatst de KMS en andere beveiligingsgerelateerde functies naar uw bedrijfsdatacenter, dus niemand anders dan u heeft de sleutels voor uw gecodeerde inhoud.

                                                                                                                                                  Architectuur beveiligingsgebied

                                                                                                                                                  De Webex-cloudarchitectuur scheidt verschillende soorten service in afzonderlijke realms of vertrouwensdomeinen, zoals hieronder wordt weergegeven.

                                                                                                                                                  Scheidingsgebieden (zonder hybride databeveiliging)

                                                                                                                                                  Laten we eerst eens kijken naar deze zuivere cloudcase, waarin Cisco alle functies in zijn clouddomeinen aanbiedt om meer inzicht te krijgen in hybride databeveiliging. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks kunnen worden gecorreleerd met hun persoonlijke informatie zoals e-mailadres, is logisch en fysiek gescheiden van de beveiligingsrealm in datacenter B. Beide zijn op hun beurt gescheiden van de realm waar versleutelde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

                                                                                                                                                  In dit diagram is de client de Webex-app die wordt uitgevoerd op de laptop van een gebruiker en is deze geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

                                                                                                                                                  1. De client maakt een veilige verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel om het bericht te versleutelen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

                                                                                                                                                  2. Het bericht wordt gecodeerd voordat het de client verlaat. De klant stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

                                                                                                                                                  3. Het gecodeerde bericht wordt verzonden naar de nalevingsservice voor nalevingscontroles.

                                                                                                                                                  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

                                                                                                                                                  Wanneer u hybride databeveiliging implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de realms van Cisco.

                                                                                                                                                  Samenwerken met andere organisaties

                                                                                                                                                  Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, routeert uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS te krijgen en stuurt de sleutel vervolgens terug naar uw gebruiker op het oorspronkelijke kanaal.

                                                                                                                                                  De KMS-service die wordt uitgevoerd in organisatie A valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw implementatie voor hybride databeveiliging.

                                                                                                                                                  Verwachtingen voor het implementeren van hybride databeveiliging

                                                                                                                                                  Een implementatie van hybride databeveiliging vereist een aanzienlijke klantbetrokkenheid en een bewustzijn van de risico's van het bezit van coderingssleutels.

                                                                                                                                                  Als u hybride databeveiliging wilt implementeren, moet u het volgende opgeven:

                                                                                                                                                  Volledig verlies van de configuratie-ISO die u maakt voor hybride databeveiliging of de database die u levert, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers inhoud van de ruimte en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar alleen nieuwe inhoud is zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

                                                                                                                                                  • De back-up en het herstel van de database en de configuratie-ISO beheren.

                                                                                                                                                  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing in de databaseschijf of een ramp met het datacenter.


                                                                                                                                                   

                                                                                                                                                  Er is geen mechanisme om sleutels na een HDS-implementatie terug naar de cloud te verplaatsen.

                                                                                                                                                  Installatieproces op hoog niveau

                                                                                                                                                  Dit document behandelt het instellen en beheren van een implementatie voor hybride databeveiliging:

                                                                                                                                                  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset gebruikers in de proefmodus en, zodra uw tests zijn voltooid, het verplaatsen naar productie. Hiermee wordt de hele organisatie geconverteerd om uw cluster voor hybride databeveiliging te gebruiken voor beveiligingsfuncties.

                                                                                                                                                    De installatie-, proef- en productiefasen worden in de volgende drie hoofdstukken in detail besproken.

                                                                                                                                                  • Uw implementatie voor hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch voortdurende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig ondersteuning van Cisco inschakelen. U kunt meldingen op het scherm gebruiken en op e-mail gebaseerde waarschuwingen instellen in Control Hub.

                                                                                                                                                  • Algemene waarschuwingen, stappen voor probleemoplossing en bekende problemen begrijpen: als u problemen ondervindt bij het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  In uw bedrijfsdatacenter implementeert u hybride databeveiliging als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

                                                                                                                                                  Tijdens het installatieproces bieden we u het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt monteert. Het cluster Hybride databeveiliging gebruikt de door u geleverde Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de details van de Syslogd- en databaseverbinding in de HDS-installatietool.)

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  Het minimumaantal knooppunten dat u in een cluster kunt hebben is twee. We raden ten minste drie aan en u kunt er maximaal vijf hebben. Als u meerdere knooppunten hebt, wordt de service niet onderbroken tijdens een software-upgrade of andere onderhoudsactiviteit op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

                                                                                                                                                  Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en logboekactiviteit op dezelfde syslog-server. De knooppunten zelf zijn stateloos, en behandelen belangrijke verzoeken in round-robin mode, zoals geregisseerd door de cloud.

                                                                                                                                                  Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt buiten gebruik wilt stellen, kunt u de registratie ongedaan maken en later opnieuw registreren, indien nodig.

                                                                                                                                                  We ondersteunen slechts één cluster per organisatie.

                                                                                                                                                  Proefmodus voor hybride databeveiliging

                                                                                                                                                  Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u dit eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.

                                                                                                                                                  Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de pilootgebruikers en alle gebruikers met wie ze tijdens de proefperiode interactie hebben gehad door nieuwe ruimten te maken, de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.

                                                                                                                                                  Als u ervan overtuigd bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilootgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, bijvoorbeeld om noodherstel uit te voeren, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilootgebruikers voor de nieuwe proefperiode instellen voordat u teruggaat naar de productiemodus. Of gebruikers op dit moment toegang tot gegevens behouden, hangt af van het feit of u back-ups van de sleutelgegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster hebt onderhouden.

                                                                                                                                                  Standby-datacenter voor noodherstel

                                                                                                                                                  Tijdens de implementatie stelt u een beveiligd stand-bydatacenter in. In het geval van een ramp met een datacenter kunt u uw implementatie handmatig overzetten naar het stand-bydatacenter.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Handmatige failover naar stand-bydatacenter

                                                                                                                                                  De databases van de actieve en stand-by datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is om de failover uit te voeren, tot een minimum wordt beperkt. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten zijn geregistreerd bij de organisatie, maar geen verkeer afhandelen. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van de HDS-software.


                                                                                                                                                   

                                                                                                                                                  De actieve knooppunten voor hybride databeveiliging moeten altijd in hetzelfde datacenter zijn als de actieve databaseserver.

                                                                                                                                                  Standby-datacenter instellen voor noodherstel

                                                                                                                                                  Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Het stand-bydatacenter moet de productieomgeving van VM's en een back-up PostgreSQL- of Microsoft SQL Server-database weerspiegelen. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. (Zie Standby Data Center for Disaster Recovery voor een overzicht van dit failovermodel.)

                                                                                                                                                  • Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database met actieve en passieve clusterknooppunten.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.


                                                                                                                                                   

                                                                                                                                                  Het ISO-bestand moet een kopie zijn van het originele ISO-bestand van het primaire datacenter waarop de volgende configuratieupdates moeten worden uitgevoerd.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar wordt er geen verkeer afgehandeld.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslogs om te controleren of de knooppunten zich in de passieve modus bevinden. U moet het bericht 'KMS geconfigureerd in passieve modus' in de syslogs kunnen bekijken.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Na het configureren passiveMode in het ISO-bestand en opslaan, kunt u een andere kopie van het ISO-bestand maken zonder de passiveMode configureren en opslaan op een veilige locatie. Deze kopie van het ISO-bestand zonder passiveMode geconfigureerd kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met behulp van het stand-bydatacenter voor de gedetailleerde failoverprocedure.

                                                                                                                                                  Proxyondersteuning

                                                                                                                                                  Hybride databeveiliging ondersteunt expliciete, transparante en niet-inspecterende proxy's. U kunt deze proxy's aan uw implementatie koppelen zodat u het verkeer van de onderneming naar de cloud kunt beveiligen en bewaken. U kunt een platformbeheerinterface op de knooppunten gebruiken voor certificaatbeheer en om de algehele verbindingsstatus te controleren nadat u de proxy op de knooppunten hebt ingesteld.

                                                                                                                                                  De knooppunten voor hybride databeveiliging ondersteunen de volgende proxyopties:

                                                                                                                                                  • Geen proxy: de standaardinstelling als u de HDS-knooppuntconfiguratie Vertrouwensarchief en proxy niet gebruikt om een proxy te integreren. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante niet-inspecterende proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante tunneling of inspectie van proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP- of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).

                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welk proxyserver- en verificatieschema u moet gebruiken. Als u een expliciete proxy wilt configureren, moet u de volgende informatie op elk knooppunt invoeren:

                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

                                                                                                                                                      • HTTP: geeft alle verzoeken weer die de client verzendt en beheert deze.

                                                                                                                                                      • HTTPS: biedt een kanaal naar de server. De client ontvangt het servercertificaat en valideert het.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar als u HTTPS selecteert als proxyprotocol.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                  Voorbeeld van knooppunten voor hybride databeveiliging en proxy

                                                                                                                                                  In dit diagram ziet u een voorbeeldverbinding tussen hybride databeveiliging, netwerk en een proxy. Voor de opties voor transparante inspectie en HTTPS expliciete inspectie proxy moet hetzelfde hoofdcertificaat worden geïnstalleerd op de proxy en op de knooppunten voor hybride databeveiliging.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus (expliciete proxyconfiguraties)

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. In implementaties met expliciete proxyconfiguraties die geen externe DNS-resolutie voor interne clients toestaan, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie als het knooppunt de DNS-servers niet kan opvragen. In deze modus kunnen knooppuntregistratie en andere proxyverbindingstests worden voortgezet.

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  Vereisten voor hybride databeveiliging

                                                                                                                                                  Vereisten voor Cisco Webex-licenties

                                                                                                                                                  Hybride databeveiliging implementeren:

                                                                                                                                                  Vereisten voor Docker Desktop

                                                                                                                                                  Voordat u uw HDS-knooppunten installeert, hebt u Docker Desktop nodig om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie vereist mogelijk een betaald abonnement voor Docker Desktop. Zie voor meer informatie de blogpost van Docker, "Docker is Updating and Extending Our Product Subscriptions" (Docker werkt onze productabonnementen bij en verlengt ze).

                                                                                                                                                  Vereisten voor X.509-certificaten

                                                                                                                                                  De certificaatketen moet aan de volgende vereisten voldoen:

                                                                                                                                                  Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

                                                                                                                                                  Vereiste

                                                                                                                                                  Details

                                                                                                                                                  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

                                                                                                                                                  Standaard vertrouwen we de CA’s in de Mozilla lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Bevat een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

                                                                                                                                                  • Is geen jokercertificaat

                                                                                                                                                  De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die uw organisatie weergeeft, bijvoorbeeld: hds.company.com.

                                                                                                                                                  De algemene naam mag geen * (jokerteken) bevatten.

                                                                                                                                                  De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren bij clients van de Webex-app. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  Zodra u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat kan worden toegepast op zowel de proefperiode- als productie-implementaties.

                                                                                                                                                  • Niet-SHA1 handtekening

                                                                                                                                                  De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

                                                                                                                                                  • Geformatteerd als een met een wachtwoord beveiligd PKCS #12-bestand

                                                                                                                                                  • Gebruik de vriendelijke naam van kms-private-key om het certificaat, de privésleutel en eventuele tussenliggende certificaten te taggen die moeten worden geüpload.

                                                                                                                                                  U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

                                                                                                                                                  U moet het wachtwoord invoeren wanneer u de HDS-installatietool uitvoert.

                                                                                                                                                  De KMS-software dwingt sleutelgebruik of uitgebreide beperkingen voor sleutelgebruik niet af. Sommige certificeringsinstanties vereisen dat uitgebreide belangrijke gebruiksbeperkingen worden toegepast op elk certificaat, zoals serververificatie. U mag de serververificatie of andere instellingen gebruiken.

                                                                                                                                                  Vereisten voor virtuele host

                                                                                                                                                  De virtuele hosts die u instelt als knooppunten voor hybride databeveiliging in uw cluster, hebben de volgende vereisten:

                                                                                                                                                  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich in hetzelfde beveiligde datacenter bevinden

                                                                                                                                                  • VMware ESXi 6.5 (of hoger) geïnstalleerd en actief.


                                                                                                                                                     

                                                                                                                                                    U moet upgraden als u een eerdere versie van ESXi hebt.

                                                                                                                                                  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

                                                                                                                                                  Vereisten voor databaseserver


                                                                                                                                                   

                                                                                                                                                  Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. Wanneer de HDS-toepassingen zijn geïnstalleerd, maakt u het databaseschema.

                                                                                                                                                  Er zijn twee opties voor databaseserver. De vereisten voor elk zijn als volgt:

                                                                                                                                                  Tabel 2. Vereisten databaseserver per type database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

                                                                                                                                                  • SQL Server 2016, 2017 of 2019 (Enterprise of Standard) geïnstalleerd.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL JDBC-stuurprogramma van SQL Server 4.6

                                                                                                                                                  Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover Cluster Instances en Always On availability groups).

                                                                                                                                                  Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

                                                                                                                                                  Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

                                                                                                                                                  • De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

                                                                                                                                                  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees-/schrijftoegang hebben tot de database.

                                                                                                                                                  • De DNS-servers die u aan HDS-knooppunten levert, moeten uw Key Distribution Center (KDC) kunnen oplossen.

                                                                                                                                                  • U kunt de HDS-database-instantie op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een servicenaam registreren voor Kerberos-verbindingen.

                                                                                                                                                    De HDS-installatietool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens van uw ISO-configuratie om de SPN te construeren wanneer ze toegang aanvragen met Kerberos-verificatie.

                                                                                                                                                  Externe connectiviteitsvereisten

                                                                                                                                                  Configureer uw firewall om de volgende verbinding voor de HDS-toepassingen toe te staan:

                                                                                                                                                  App

                                                                                                                                                  Protocol

                                                                                                                                                  Poort

                                                                                                                                                  Richting van app

                                                                                                                                                  Bestemming

                                                                                                                                                  Knooppunten voor hybride databeveiliging

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS en WSS

                                                                                                                                                  • Webex-servers:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • Andere URL's die worden vermeld voor beveiliging van hybride gegevens in de tabel Aanvullende URL's voor hybride Webex-services met netwerkvereisten voor Webex-services

                                                                                                                                                  Hulpprogramma voor HDS-instellingen

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die inkomend zijn naar de knooppunten voor hybride databeveiliging, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients voor beheerdoeleinden toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22.

                                                                                                                                                  De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:

                                                                                                                                                  Regio

                                                                                                                                                  Host-URL's van Common Identity

                                                                                                                                                  Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europese Unie

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Vereisten voor proxyserver

                                                                                                                                                  • We ondersteunen officieel de volgende proxyoplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride databeveiliging.

                                                                                                                                                    • Transparante proxy: Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Expliciete proxy: Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de oprichting van websocket verstoren (wss:) verbindingen. Zie Squid-proxy's configureren voor hybride databeveiliging voor meer informatie over dit probleem.

                                                                                                                                                  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

                                                                                                                                                    • Geen verificatie met HTTP of HTTPS

                                                                                                                                                    • Basisverificatie met HTTP of HTTPS

                                                                                                                                                    • Digestverificatie met alleen HTTPS

                                                                                                                                                  • Voor een transparante inspecterende proxy of een expliciete HTTPS-proxy moet u een kopie hebben van het hoofdcertificaat van de proxy. De implementatie-instructies in deze handleiding vertellen u hoe u de kopie kunt uploaden naar de vertrouwensarchieven van de knooppunten voor hybride databeveiliging.

                                                                                                                                                  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 te dwingen via de proxy te routeren.

                                                                                                                                                  • Proxy's die het webverkeer inspecteren, kunnen interfereren met websocketverbindingen. Indien dit probleem zich voordoet, verkeer overslaan (niet inspecteren) naar wbx2.com en ciscospark.com zal het probleem oplossen.

                                                                                                                                                  Voldoen aan de vereisten voor hybride databeveiliging

                                                                                                                                                  Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
                                                                                                                                                  1

                                                                                                                                                  Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en ontvang de referenties van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

                                                                                                                                                  2

                                                                                                                                                  Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  3

                                                                                                                                                  Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt ten minste twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter zijn geplaatst en voldoen aan de vereisten in Vereisten voor virtuele host.

                                                                                                                                                  4

                                                                                                                                                  Bereid de databaseserver voor die zal fungeren als de belangrijkste gegevensopslag voor het cluster, overeenkomstig de vereisten voor de databaseserver. De databaseserver moet samen met de virtuele hosts in het beveiligde datacenter worden geplaatst.

                                                                                                                                                  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik de standaarddatabase niet. De HDS-toepassingen maken het databaseschema wanneer ze zijn geïnstalleerd.)

                                                                                                                                                  2. Verzamel de gegevens die de knooppunten gebruiken om met de databaseserver te communiceren:

                                                                                                                                                    • de hostnaam of het IP-adres (host) en de poort

                                                                                                                                                    • de naam van de database (dbname) voor key storage

                                                                                                                                                    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de database met sleutelopslag

                                                                                                                                                  5

                                                                                                                                                  Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben.

                                                                                                                                                  6

                                                                                                                                                  Stel een Syslog-host in om logboeken te verzamelen van de knooppunten in het cluster. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Maak een veilig back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.


                                                                                                                                                   

                                                                                                                                                  Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die worden gebruikt voor codering en decodering van inhoud, leidt het niet onderhouden van een operationele implementatie tot het ONHERSTELBARE VERLIES van die inhoud.

                                                                                                                                                  Clients van de Webex-app brengen hun sleutels in de cache, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen niet te voorkomen zijn, kunnen ze worden hersteld. Volledig verlies (geen back-ups beschikbaar) van de database of het ISO-configuratiebestand leidt echter tot niet-herstelbare klantgegevens. Van de beheerders van de knooppunten voor hybride databeveiliging wordt verwacht dat ze regelmatig back-ups van de database en het configuratie-ISO-bestand onderhouden, en dat ze bereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als er een catastrofale storing optreedt.

                                                                                                                                                  8

                                                                                                                                                  Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw hybride databeveiligingsknooppunten mogelijk maakt, zoals beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  9

                                                                                                                                                  Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft tot het besturingssysteem op http://127.0.0.1:8080.

                                                                                                                                                  U gebruikt het Docker-exemplaar om de HDS-installatietool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratie-informatie op voor alle knooppunten voor hybride databeveiliging. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker Desktop voor meer informatie.

                                                                                                                                                  Om de HDS-setuptool te installeren en uit te voeren, moet de lokale machine de connectiviteit hebben die wordt beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  10

                                                                                                                                                  Als u een proxy integreert met hybride databeveiliging, moet u ervoor zorgen dat deze voldoet aan de vereisten voor de proxyserver.

                                                                                                                                                  11

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, maakt u een groep in Active Directory met de naam HdsTrialGroup en pilootgebruikers toevoegen. De proefgroep kan maximaal 250 gebruikers hebben. Het HdsTrialGroup object moet worden gesynchroniseerd met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Als u een groepsobject wilt synchroniseren, selecteert u het in de van de directoryconnector Configuratie > menu Objectselectie. (Zie de Implementatiehandleiding voor Cisco Directoryconnector voor gedetailleerde instructies.)


                                                                                                                                                   

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Houd er bij het selecteren van pilootgebruikers rekening mee dat als u besluit de implementatie voor hybride databeveiliging permanent te deactiveren, alle gebruikers geen toegang meer hebben tot inhoud in de ruimten die door de pilootgebruikers zijn gemaakt. Het verlies wordt duidelijk zodra de apps van gebruikers hun in de cache opgeslagen kopieën van de inhoud vernieuwen.

                                                                                                                                                  Een cluster voor hybride databeveiliging instellen

                                                                                                                                                  Taakstroom implementatie hybride databeveiliging

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  1

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  Download het OVA-bestand naar uw lokale computer voor later gebruik.

                                                                                                                                                  2

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Gebruik de HDS-installatietool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Maak een virtuele machine vanuit het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  4

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd ten tijde van de OVA-implementatie.

                                                                                                                                                  5

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  6

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u indien nodig het proxycertificaat toe aan het vertrouwensarchief.

                                                                                                                                                  7

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Registreer de VM bij de Cisco Webex-cloud als een knooppunt voor hybride databeveiliging.

                                                                                                                                                  8

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Voltooi de clusterinstelling.

                                                                                                                                                  9

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)

                                                                                                                                                  Totdat u een proefperiode start, genereren uw knooppunten een alarm dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). Je gebruikt dit bestand later in het installatieproces.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en klik vervolgens op Services.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik vervolgens op Instellen.

                                                                                                                                                  Als de kaart is uitgeschakeld of u deze niet ziet, neemt u contact op met uw accountteam of uw partnerorganisatie. Geef uw accountnummer en vraag of u uw organisatie wilt inschakelen voor hybride databeveiliging. Als u het accountnummer wilt vinden, klikt u op het tandwiel rechtsboven naast de naam van uw organisatie.


                                                                                                                                                   

                                                                                                                                                  U kunt de OVA ook op elk gewenst moment downloaden via het gedeelte Help op de pagina Instellingen. Klik op de kaart Hybride databeveiliging op Instellingen bewerken om de pagina te openen. Klik vervolgens op Hybride databeveiligingssoftware downloaden in het gedeelte Help.


                                                                                                                                                   

                                                                                                                                                  Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de nieuwste versie van het OVA-bestand downloadt.

                                                                                                                                                  3

                                                                                                                                                  Selecteer Nee om aan te geven dat u het knooppunt nog niet hebt ingesteld en klik vervolgens op Volgende.

                                                                                                                                                  Het OVA-bestand begint automatisch te downloaden. Sla het bestand op een locatie op uw computer op.
                                                                                                                                                  4

                                                                                                                                                  U kunt ook op Implementatiehandleiding openen klikken om te controleren of er een latere versie van deze handleiding beschikbaar is.

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Het installatieproces voor hybride databeveiliging maakt een ISO-bestand. Vervolgens gebruikt u de ISO om uw host voor hybride databeveiliging te configureren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om er toegang toe te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Control Hub-account met volledige beheerdersrechten voor uw organisatie vereist.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5 opent. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de nieuwste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals:

                                                                                                                                                    • Aanmeldgegevens database

                                                                                                                                                    • Certificaatupdates

                                                                                                                                                    • Wijzigingen in het autorisatiebeleid

                                                                                                                                                  • Als u databaseverbindingen wilt versleutelen, stelt u uw PostgreSQL- of SQL Server-implementatie voor TLS in.

                                                                                                                                                  1

                                                                                                                                                  Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

                                                                                                                                                  In reguliere omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Deze stap ruimt eerdere afbeeldingen van de HDS-installatietool op. Als er geen eerdere afbeeldingen zijn, geeft dit een fout weer die u kunt negeren.

                                                                                                                                                  2

                                                                                                                                                  Voer het volgende in om u aan te melden bij het Docker-afbeeldingsregister:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download de nieuwste stabiele afbeelding voor uw omgeving:

                                                                                                                                                  In reguliere omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Wanneer de pull is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                  • In normale omgevingen zonder proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In FedRAMP-omgevingen zonder proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Als de container draait, ziet u 'Expresserver luisteren op poort 8080'.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  Gebruik een webbrowser om naar de localhost te gaan http://127.0.0.1:8080 en voer de gebruikersnaam van de klantbeheerder voor Control Hub in de prompt in.

                                                                                                                                                  De tool gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Het hulpprogramma geeft vervolgens de standaard aanmeldingsprompt weer.

                                                                                                                                                  7

                                                                                                                                                  Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de Control Hub-klantbeheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

                                                                                                                                                  8

                                                                                                                                                  Klik op de overzichtspagina van de installatietool op Aan de slag.

                                                                                                                                                  9

                                                                                                                                                  Op de pagina ISO Import hebt u de volgende opties:

                                                                                                                                                  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
                                                                                                                                                  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de browse en uploadt u het.
                                                                                                                                                  10

                                                                                                                                                  Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  • Als u nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat OK is, klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat is verlopen of als u het wilt vervangen, selecteert u Nee voor Doorgaan met gebruik van HDS-certificaatketen en privésleutel uit vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
                                                                                                                                                  11

                                                                                                                                                  Voer het databaseadres en het account voor HDS in om toegang te krijgen tot uw belangrijke gegevensopslag:

                                                                                                                                                  1. Selecteer uw Database Type (PostgreSQL of Microsoft SQL Server).

                                                                                                                                                    Als u Microsoft SQL Server kiest, krijgt u een veld Verificatietype.

                                                                                                                                                  2. (Alleen Microsoft SQL Server) Selecteer uw verificatietype:

                                                                                                                                                    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam.

                                                                                                                                                    • Windows-verificatie: U hebt een Windows-account in de indeling nodig username@DOMAIN in het veld Gebruikersnaam.

                                                                                                                                                  3. Voer het adres van de databaseserver in het formulier in <hostname>:<port> of <IP-address>:<port>.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    dbhost.example.org:1433 of 198.51.100.17:1433

                                                                                                                                                    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

                                                                                                                                                    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

                                                                                                                                                  4. Voer de databasenaam in.

                                                                                                                                                  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten in de database voor sleutelopslag.

                                                                                                                                                  12

                                                                                                                                                  Selecteer een TLS-databaseverbindingsmodus:

                                                                                                                                                  Mode

                                                                                                                                                  Beschrijving

                                                                                                                                                  Voorkeur voor TLS(standaardoptie)

                                                                                                                                                  HDS-knooppunten vereisen geen TLS om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

                                                                                                                                                  TLS vereist

                                                                                                                                                  HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

                                                                                                                                                  TLS verplichten en certificaatondertekenaar verifiëren


                                                                                                                                                   

                                                                                                                                                  Deze modus is niet van toepassing op SQL Server-databases.

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik het besturingselement Basiscertificaat database onder de vervolgkeuzelijst om het basiscertificaat voor deze optie te uploaden.

                                                                                                                                                  TLS verplichten en certificaatondertekenaar en hostnaam verifiëren

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databasehost en -poort. De namen moeten exact overeenkomen, of het knooppunt verbreekt de verbinding.

                                                                                                                                                  Gebruik het besturingselement Basiscertificaat database onder de vervolgkeuzelijst om het basiscertificaat voor deze optie te uploaden.

                                                                                                                                                  Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-installatietool de TLS-verbinding met de databaseserver. De tool controleert ook de certificaatondertekenaar en hostnaam, indien van toepassing. Als een test mislukt, geeft de tool een foutbericht weer waarin het probleem wordt beschreven. U kunt kiezen of u de fout negeert en doorgaat met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de HDS-installatietool niet met succes kan worden getest.)

                                                                                                                                                  13

                                                                                                                                                  Configureer uw Syslogd-server op de pagina Systeemlogboeken:

                                                                                                                                                  1. Voer de URL van de syslog-server in.

                                                                                                                                                    Als de server niet DNS-oplosbaar is vanuit de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij Syslogd-host 10.92.43.23 op UDP-poort 514.
                                                                                                                                                  2. Als u uw server instelt om TLS-codering te gebruiken, controleert u Is uw syslog-server geconfigureerd voor SSL-codering?.

                                                                                                                                                    Als u dit selectievakje inschakelt, moet u een TCP-URL invoeren, zoals tcp://10.92.43.23:514.

                                                                                                                                                  3. Kies in de vervolgkeuzelijst Beëindiging syslog-record kiezen de juiste instelling voor uw ISO-bestand: Kies of Newline wordt gebruikt voor Graylog en Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Selecteer deze keuze voor Graylog en Rsyslog TCP.

                                                                                                                                                  4. Klik op Doorgaan.

                                                                                                                                                  14

                                                                                                                                                  (Optioneel) U kunt de standaardwaarde voor bepaalde parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u wilt wijzigen:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik op Doorgaan op het scherm Wachtwoord serviceaccounts opnieuw instellen.

                                                                                                                                                  Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u wilt deze opnieuw instellen om eerdere ISO-bestanden ongeldig te maken.

                                                                                                                                                  16

                                                                                                                                                  Klik op ISO-bestand downloaden. Sla het bestand op een gemakkelijk te vinden locatie op.

                                                                                                                                                  17

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem.

                                                                                                                                                  Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  18

                                                                                                                                                  Als u de Setup-tool wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten voor herstel te maken of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het herstellen van de sleutels van uw PostgreSQL- of Microsoft SQL Server-database is niet mogelijk.


                                                                                                                                                   

                                                                                                                                                  We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze kwijtraakt.

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Gebruik deze procedure om een virtuele machine te maken vanuit het OVA-bestand.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

                                                                                                                                                  2

                                                                                                                                                  Selecteer File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

                                                                                                                                                  4

                                                                                                                                                  Op de Selecteer een naam en map pagina, voer een in Naam virtuele machine voor het knooppunt (bijvoorbeeld 'HDS_Node_1') kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Op de Een computerbron selecteren pagina, kies de bestemming compute resource en klik vervolgens op Volgende.

                                                                                                                                                  Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloondetails weergegeven.

                                                                                                                                                  6

                                                                                                                                                  Controleer de sjabloondetails en klik op Volgende.

                                                                                                                                                  7

                                                                                                                                                  Als u wordt gevraagd de resourceconfiguratie te kiezen op de Configuratie pagina, klik op 4 CPU en klik vervolgens op Volgende.

                                                                                                                                                  8

                                                                                                                                                  Op de Selecteer opslag pagina, klik op Volgende om de standaard schijfindeling en het VM-opslagbeleid te accepteren.

                                                                                                                                                  9

                                                                                                                                                  Op de Selecteer netwerken-pagina, kies de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

                                                                                                                                                  10

                                                                                                                                                  Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen:

                                                                                                                                                  • Hostnaam: voer de FQDN (hostnaam en domein) of een hostnaam met één woord in voor het knooppunt.

                                                                                                                                                     
                                                                                                                                                    • U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                    • Als u een succesvolle registratie bij de cloud wilt garanderen, gebruikt u alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld. Kapitalisatie wordt momenteel niet ondersteund.

                                                                                                                                                    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

                                                                                                                                                  • IP-adres— Voer het IP-adres in voor de interne interface van het knooppunt.

                                                                                                                                                     

                                                                                                                                                    Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  • Masker: voer het adres van het subnetmasker in de punt-decimale notatie in. Bijvoorbeeld 255.255.255.0.
                                                                                                                                                  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat als toegangspunt dient voor een ander netwerk.
                                                                                                                                                  • DNS-servers: voer een door komma's gescheiden lijst met DNS-servers in, die domeinnamen vertalen naar numerieke IP-adressen. (Maximaal 4 DNS-vermeldingen zijn toegestaan.)
                                                                                                                                                  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die in uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
                                                                                                                                                  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster bereikbaar zijn vanaf clients in uw netwerk voor administratieve doeleinden.

                                                                                                                                                  Indien gewenst kunt u de configuratie van de netwerkinstellingen overslaan en de stappen volgen in De hybride databeveiliging VM instellen om de instellingen vanaf de knooppuntconsole te configureren.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  11

                                                                                                                                                  Klik met de rechtermuisknop op het knooppunt VM en kies Voeding > Voeding aan.

                                                                                                                                                  De software voor hybride databeveiliging is geïnstalleerd als gast op de VM-host. U kunt zich nu aanmelden bij de console en het knooppunt configureren.

                                                                                                                                                  Tips voor het oplossen van problemen

                                                                                                                                                  U kunt een vertraging van een paar minuten ervaren voordat de knooppuntcontainers naar boven komen. Er verschijnt een brugfirewallbericht op de console tijdens de eerste keer opstarten, tijdens welke u zich niet kunt aanmelden.

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

                                                                                                                                                  1

                                                                                                                                                  Selecteer in de VMware vSphere-client uw knooppunt voor hybride databeveiliging VM en selecteer het tabblad Console.

                                                                                                                                                  De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldprompt niet wordt weergegeven, drukt u op Enter.
                                                                                                                                                  2

                                                                                                                                                  Gebruik de volgende standaardaanmelding en het volgende wachtwoord om u aan te melden en de aanmeldgegevens te wijzigen:

                                                                                                                                                  1. Aanmelden: admin

                                                                                                                                                  2. Wachtwoord: cisco

                                                                                                                                                  Aangezien u zich voor de eerste keer aanmeldt bij uw VM, moet u het beheerderswachtwoord wijzigen.

                                                                                                                                                  3

                                                                                                                                                  Als u de netwerkinstellingen al hebt geconfigureerd in Install the HDS Host OVA, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken.

                                                                                                                                                  4

                                                                                                                                                  Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  5

                                                                                                                                                  (Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om aan uw netwerkbeleid te voldoen.

                                                                                                                                                  U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                  6

                                                                                                                                                  Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen van kracht worden.

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Omdat het ISO-bestand de hoofdsleutel bevat, mag het alleen worden blootgesteld op een 'need to know'-basis, voor toegang door de VM's voor hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen die beheerders toegang hebben tot de gegevensopslag.

                                                                                                                                                  1

                                                                                                                                                  Upload het ISO-bestand vanaf uw computer:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

                                                                                                                                                  2. Klik in de hardwarelijst van het tabblad Configuratie op Opslag.

                                                                                                                                                  3. Klik in de lijst Datastores met de rechtermuisknop op de datastore voor uw VM's en klik op Browse Datastore.

                                                                                                                                                  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

                                                                                                                                                  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

                                                                                                                                                  6. Klik op Ja om de waarschuwing voor de upload-/downloadbewerking te accepteren en sluit het dialoogvenster Gegevensopslag.

                                                                                                                                                  2

                                                                                                                                                  Koppel het ISO-bestand:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  2. Klik op OK om de waarschuwing voor beperkte bewerkingsopties te accepteren.

                                                                                                                                                  3. Klikken CD/DVD Drive 1, selecteer de optie om te koppelen vanuit een ISO-bestand voor de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

                                                                                                                                                  4. Controleer Connected en Connect bij ingeschakeld contact.

                                                                                                                                                  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als uw IT-beleid dit vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride databeveiliging. Als u een transparante inspecterende proxy of een expliciete HTTPS-proxy kiest, kunt u de interface van het knooppunt gebruiken om het hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding controleren vanuit de interface en mogelijke problemen oplossen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  1

                                                                                                                                                  Voer de URL voor het instellen van het HDS-knooppunt in https://[HDS Node IP or FQDN]/setup voer in een webbrowser de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Trust Store & Proxy en kies een optie:

                                                                                                                                                  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante niet-inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om met een niet-inspecterende proxy te werken. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTPS-configuratiewijzigingen nodig voor de implementatie van hybride databeveiliging. De HDS-knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).
                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de client (HDS-knooppunten) aan welke proxyserver moet worden gebruikt. Deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: kies http (bekijkt en beheert alle aanvragen die van de client worden ontvangen) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar voor HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                  Volg de volgende stappen voor een transparante inspecterende proxy, een expliciete HTTP-proxy met basisverificatie of een expliciete HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik op Upload a Root Certificate or End Entity Certificate (Een hoofdcertificaat uploaden of een entiteitscertificaat beëindigen) en navigeer vervolgens naar een hoofdcertificaat voor de proxy kiezen.

                                                                                                                                                  Het certificaat is geüpload maar nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijl van de chevron bij de naam van de certificaatverstrekker voor meer informatie of klik op Verwijderen als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

                                                                                                                                                  Als de verbindingstest mislukt, ziet u een foutbericht met de reden en hoe u het probleem kunt oplossen.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken. Deze voorwaarde wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de modus Geblokkeerde externe DNS-resolutie. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u Geblokkeerde externe DNS-resolutiemodus uitschakelen.

                                                                                                                                                  5

                                                                                                                                                  Nadat de verbindingstest is verlopen en de expliciete proxy alleen is ingesteld op https, schakelt u de schakelaar in op Alle poort 443/444-https-verzoeken van dit knooppunt routeren via de expliciete proxy. Deze instelling heeft 15 seconden nodig om van kracht te worden.

                                                                                                                                                  6

                                                                                                                                                  Klik op Alle certificaten installeren in de Trust Store (wordt weergegeven voor een expliciete HTTPS-proxy of een transparante inspecterende proxy) of Opnieuw opstarten (wordt weergegeven voor een expliciete HTTP-proxy), lees de prompt en klik vervolgens op Installeren als u klaar bent.

                                                                                                                                                  Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

                                                                                                                                                  7

                                                                                                                                                  Nadat het knooppunt opnieuw is opgestart, meldt u zich indien nodig opnieuw aan en opent u de pagina Overzicht om de connectiviteitscontroles te controleren en ervoor te zorgen dat ze allemaal groen zijn.

                                                                                                                                                  Met de proxyverbindingscontrole wordt alleen een subdomein van webex.com getest. Als er verbindingsproblemen zijn, is een algemeen probleem dat sommige van de clouddomeinen die in de installatie-instructies worden vermeld, worden geblokkeerd bij de proxy.

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Voor deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in de Hybride databeveiliging VM instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

                                                                                                                                                  Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd om redundantie te bieden.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Selecteer Services in het menu links op het scherm.

                                                                                                                                                  3

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellen.

                                                                                                                                                  De pagina Knooppunt voor hybride databeveiliging registreren wordt weergegeven.
                                                                                                                                                  4

                                                                                                                                                  Selecteer Ja om aan te geven dat u het knooppunt hebt ingesteld en klaar bent om het te registreren. Klik vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Voer in het eerste veld een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

                                                                                                                                                  We raden u aan een cluster een naam te geven op basis van waar de knooppunten van het cluster zich geografisch bevinden. Voorbeelden: "San Francisco" of "New York" of "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                  Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein dat u hebt gebruikt in De VM voor hybride databeveiliging instellen.

                                                                                                                                                  Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik op Ga naar knooppunt.

                                                                                                                                                  8

                                                                                                                                                  Klik in het waarschuwingsbericht op Doorgaan.

                                                                                                                                                  Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  9

                                                                                                                                                  Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                  Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  10

                                                                                                                                                  Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Op de pagina Hybride databeveiliging wordt het nieuwe cluster weergegeven met het knooppunt dat u hebt geregistreerd. Het knooppunt downloadt automatisch de nieuwste software vanuit de cloud.

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Als u extra knooppunten aan uw cluster wilt toevoegen, maakt u gewoon extra VM's en monteert u hetzelfde configuratie-ISO-bestand en registreert u het knooppunt. We raden u aan ten minste 3 knooppunten te hebben.

                                                                                                                                                   

                                                                                                                                                  Op dit moment zijn de back-up-VM's die u hebt gemaakt in Voldoen aan de vereisten voor hybride databeveiliging stand-byhosts die alleen worden gebruikt in het geval van noodherstel. Ze zijn tot die tijd niet geregistreerd bij het systeem. Zie Noodherstel met behulp van het stand-bydatacenter voor meer informatie.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Maak een nieuwe virtuele machine vanuit de OVA en herhaal de stappen in Installeer de HDS-host-OVA.

                                                                                                                                                  2

                                                                                                                                                  Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De hybride databeveiliging instellen.

                                                                                                                                                  3

                                                                                                                                                  Herhaal op de nieuwe VM de stappen in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Configureer het HDS-knooppunt voor proxyintegratie indien nodig voor het nieuwe knooppunt.

                                                                                                                                                  5

                                                                                                                                                  Registreer het knooppunt.

                                                                                                                                                  1. Selecteer in https://admin.webex.comServices in het menu links op het scherm.

                                                                                                                                                  2. Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik op Resources.

                                                                                                                                                    De pagina Resources voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3. Klik op Resource toevoegen.

                                                                                                                                                  4. Selecteer in het eerste veld de naam van uw bestaande cluster.

                                                                                                                                                  5. Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                    Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex-cloud.
                                                                                                                                                  6. Klik op Ga naar knooppunt.

                                                                                                                                                    Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u machtigingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Uw knooppunt is geregistreerd. Houd er rekening mee dat totdat u een proefperiode start, uw knooppunten een alarm genereren dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)
                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie

                                                                                                                                                  Doorstroom proefperiode naar productietaak

                                                                                                                                                  Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers toevoegen en deze gaan gebruiken om uw implementatie te testen en te verifiëren ter voorbereiding op de overgang naar productie.

                                                                                                                                                  1

                                                                                                                                                  Indien van toepassing, synchroniseer de HdsTrialGroup groepsobject.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  2

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd.

                                                                                                                                                  3

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Controleer of belangrijke aanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Controleer de status en stel e-mailmeldingen in voor alarmen.

                                                                                                                                                  5

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  6

                                                                                                                                                  Voltooi de onderzoeksfase met een van de volgende acties:

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Proefperiode starten.

                                                                                                                                                  De servicestatus verandert in de proefmodus.
                                                                                                                                                  4

                                                                                                                                                  Klik op Gebruikers toevoegen en voer het e-mailadres van een of meer gebruikers in om uw knooppunten voor hybride databeveiliging te gebruiken voor codering- en indexeringsservices.

                                                                                                                                                  (Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory om de testgroep te beheren, HdsTrialGroup.)

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging te testen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Stel uw implementatie voor hybride databeveiliging in.

                                                                                                                                                  • Activeer de proefperiode en voeg verschillende proefgebruikers toe.

                                                                                                                                                  • Zorg ervoor dat u toegang hebt tot de syslog om te controleren of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilootgebruikers en maak vervolgens een ruimte en nodig ten minste één pilootgebruiker en één niet-pilootgebruiker uit.


                                                                                                                                                   

                                                                                                                                                  Als u de implementatie van hybride databeveiliging deactiveert, is inhoud in ruimten die pilootgebruikers maken niet meer toegankelijk zodra de in de client opgeslagen kopieën van de coderingssleutels zijn vervangen.

                                                                                                                                                  2

                                                                                                                                                  Verzend berichten naar de nieuwe ruimte.

                                                                                                                                                  3

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de sleutelaanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1. Als u wilt controleren of een gebruiker eerst een veilig kanaal naar de KMS heeft ingesteld, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden, zoals de volgende (identificatiegegevens ingekort voor leesbaarheid):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om te controleren of een gebruiker een bestaande sleutel van het KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Om te controleren of een gebruiker een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Als u wilt controleren of een gebruiker die het maken van een nieuw KMS Resource Object (KRO) aanvraagt wanneer een ruimte of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Een statusindicator in Control Hub geeft aan of alles goed gaat met de implementatie van hybride databeveiliging. Meld u aan voor e-mailmeldingen voor meer proactieve waarschuwingen. U krijgt een melding wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
                                                                                                                                                  1

                                                                                                                                                  Selecteer in Control HubServices in het menu links op het scherm.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellingen.

                                                                                                                                                  De pagina Instellingen voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3

                                                                                                                                                  Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen gescheiden door komma's en druk op Enter.

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  Nadat u een proefperiode hebt geactiveerd en de eerste set proefgebruikers hebt toegevoegd, kunt u op elk gewenst moment leden van de proefperiode toevoegen of verwijderen terwijl de proefperiode actief is.

                                                                                                                                                  Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker om sleutels en sleutels te maken vanuit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die is opgeslagen op uw KMS, zal de cloud-KMS deze namens de gebruiker ophalen.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep te beheren, HdsTrialGroup; u kunt de groepsleden weergeven in Control Hub, maar ze niet toevoegen of verwijderen.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Proefmodus van het gebied Servicestatus op Gebruikers toevoegen of klik op weergeven en bewerken om gebruikers uit de proefperiode te verwijderen.

                                                                                                                                                  4

                                                                                                                                                  Voer het e-mailadres in van een of meer gebruikers die u wilt toevoegen of klik op de X met een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan.

                                                                                                                                                  Overstappen van proefperiode naar productie

                                                                                                                                                  Als u er zeker van bent dat uw implementatie goed werkt voor de gebruikers van de proefperiode, kunt u overgaan naar productie. Wanneer u overgaat naar productie, gebruiken alle gebruikers in de organisatie uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. U kunt niet teruggaan naar de proefmodus vanuit de productie, tenzij u de service deactiveert als onderdeel van noodherstel. Als u de service opnieuw activeert, moet u een nieuwe proefperiode instellen.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Verplaatsen naar productie.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u al uw gebruikers naar de productie wilt verplaatsen.

                                                                                                                                                  Uw proefperiode beëindigen zonder over te stappen naar productie

                                                                                                                                                  Als u tijdens uw proefperiode besluit om niet door te gaan met uw implementatie van Hybride databeveiliging, kunt u Hybride databeveiliging deactiveren. Hiermee wordt de proefperiode beëindigd en worden de proefgebruikers weer verplaatst naar de cloudservices voor databeveiliging. De gebruikers van de proefperiode verliezen toegang tot de gegevens die tijdens de proefperiode zijn gecodeerd.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Deactiveren op Deactiveren.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u de service wilt deactiveren en beëindig de proefperiode.

                                                                                                                                                  Uw HDS-implementatie beheren

                                                                                                                                                  HDS-implementatie beheren

                                                                                                                                                  Gebruik de taken die hier worden beschreven om uw implementatie voor hybride databeveiliging te beheren.

                                                                                                                                                  Upgradeschema voor cluster instellen

                                                                                                                                                  Software-upgrades voor hybride databeveiliging worden automatisch uitgevoerd op clusterniveau, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens het upgradeschema voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie om de cluster handmatig te upgraden vóór de geplande upgradetijd. U kunt een specifiek upgradeschema instellen of het standaardschema van 3:00 AM Daily Verenigde Staten gebruiken: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

                                                                                                                                                  De upgradeplanning instellen:

                                                                                                                                                  1

                                                                                                                                                  Meld u aan Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Klik op de pagina Overzicht onder Hybride services op Hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Selecteer het cluster op de pagina Resources voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Selecteer in het deelvenster Overzicht aan de rechterkant onder Clusterinstellingen de clusternaam.

                                                                                                                                                  5

                                                                                                                                                  Selecteer op de pagina Instellingen onder Upgraden de tijd en tijdzone voor het upgradeschema.

                                                                                                                                                  Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen naar de volgende dag door op Uitstellen te klikken.

                                                                                                                                                  De knooppuntconfiguratie wijzigen

                                                                                                                                                  Soms moet u de configuratie van uw knooppunt voor hybride databeveiliging wijzigen om een reden als:
                                                                                                                                                  • X.509-certificaten wijzigen vanwege verlopen of andere redenen.


                                                                                                                                                     

                                                                                                                                                    We ondersteunen het wijzigen van de CN-domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om het cluster te registreren.

                                                                                                                                                  • Database-instellingen bijwerken om te wijzigen in een replica van de PostgreSQL- of Microsoft SQL Server-database.


                                                                                                                                                     

                                                                                                                                                    We ondersteunen het migreren van gegevens van PostgreSQL naar Microsoft SQL Server niet, of omgekeerd. Als u de databaseomgeving wilt wijzigen, start u een nieuwe implementatie van hybride databeveiliging.

                                                                                                                                                  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

                                                                                                                                                  Voor veiligheidsdoeleinden gebruikt Hybride databeveiliging ook wachtwoorden voor serviceaccounts met een levensduur van negen maanden. Nadat de HDS-setuptool deze wachtwoorden heeft gegenereerd, implementeert u deze naar elk van uw HDS-knooppunten in het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een melding van het Webex-team om het wachtwoord voor uw machineaccount opnieuw in te stellen. (De e-mail bevat de tekst 'De API van het computeraccount gebruiken om het wachtwoord bij te werken'.) Als uw wachtwoorden nog niet zijn verlopen, biedt de tool u twee opties:

                                                                                                                                                  • Soft reset: de oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO-bestand op de knooppunten geleidelijk te vervangen.

                                                                                                                                                  • Harde reset: de oude wachtwoorden werken niet meer onmiddellijk.

                                                                                                                                                  Als uw wachtwoorden verlopen zonder een reset, heeft dit invloed op uw HDS-service, waarvoor een onmiddellijke harde reset en vervanging van het ISO-bestand op alle knooppunten vereist is.

                                                                                                                                                  Gebruik deze procedure om een nieuw ISO-configuratiebestand te genereren en pas het toe op uw cluster.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om er toegang toe te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Control Hub-account met volledige beheerdersrechten voor uw organisatie vereist.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen bij het weergeven van de Docker-container in 1.e. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel die de PostgreSQL- of Microsoft SQL Server-database versleutelt. U hebt de ISO nodig wanneer u configuratiewijzigingen aanbrengt, zoals database-referenties, certificaatupdates of wijzigingen in het autorisatiebeleid.

                                                                                                                                                  1

                                                                                                                                                  Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

                                                                                                                                                  1. Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

                                                                                                                                                    In reguliere omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Deze stap ruimt eerdere afbeeldingen van de HDS-installatietool op. Als er geen eerdere afbeeldingen zijn, geeft dit een fout weer die u kunt negeren.

                                                                                                                                                  2. Voer het volgende in om u aan te melden bij het Docker-afbeeldingsregister:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download de nieuwste stabiele afbeelding voor uw omgeving:

                                                                                                                                                    In reguliere omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die voor 22 februari 2018 is gemaakt, hebben de schermen voor het opnieuw instellen van het wachtwoord niet.

                                                                                                                                                  5. Wanneer de pull is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                    • In normale omgevingen zonder proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In FedRAMP-omgevingen zonder proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Als de container draait, ziet u 'Expresserver luisteren op poort 8080'.

                                                                                                                                                  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  7. Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de klant van Control Hub in en klikt u vervolgens op Accepteren om door te gaan.

                                                                                                                                                  8. Importeer het huidige ISO-configuratiebestand.

                                                                                                                                                  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

                                                                                                                                                    Als u de Setup-tool wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

                                                                                                                                                  2

                                                                                                                                                  Als u slechts één HDS-knooppunt hebt uitgevoerd, maakt u een nieuwe VM voor het knooppunt voor hybride databeveiliging en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

                                                                                                                                                  1. Installeer de HDS-host-OVA.

                                                                                                                                                  2. Stel de HDS-VM in.

                                                                                                                                                  3. Koppel het bijgewerkte configuratiebestand.

                                                                                                                                                  4. Registreer het nieuwe knooppunt in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Voor bestaande HDS-knooppunten waarop het oudere configuratiebestand wordt uitgevoerd, koppelt u het ISO-bestand. Voer op elk knooppunt om de beurt de volgende procedure uit en werk elk knooppunt bij voordat u het volgende knooppunt uitschakelt:

                                                                                                                                                  1. Schakel de virtuele machine uit.

                                                                                                                                                  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  3. Klikken CD/DVD Drive 1, selecteer de optie om te koppelen vanuit een ISO-bestand en blader naar de locatie waar u het nieuwe configuratie-ISO-bestand hebt gedownload.

                                                                                                                                                  4. Schakel het selectievakje Verbinding maken na inschakelen in.

                                                                                                                                                  5. Sla uw wijzigingen op en schakel de virtuele machine in.

                                                                                                                                                  4

                                                                                                                                                  Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus uitschakelen

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. Als de DNS-server van het knooppunt geen openbare DNS-namen kan oplossen, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie.

                                                                                                                                                  Als uw knooppunten openbare DNS-namen kunnen oplossen via interne DNS-servers, kunt u deze modus uitschakelen door de proxyverbindingstest op elk knooppunt opnieuw uit te voeren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Zorg ervoor dat uw interne DNS-servers openbare DNS-namen kunnen oplossen en dat uw knooppunten met hen kunnen communiceren.
                                                                                                                                                  1

                                                                                                                                                  Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/instellingen, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Overzicht (de standaardpagina).

                                                                                                                                                  Indien ingeschakeld, wordt de geblokkeerde externe DNS-resolutie ingesteld op Ja.

                                                                                                                                                  3

                                                                                                                                                  Ga naar de pagina Vertrouwensarchief & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken en blijft deze modus actief. Anders moet de geblokkeerde externe DNS-resolutie worden ingesteld op nee nadat u het knooppunt opnieuw hebt opgestart en teruggaat naar de pagina Overzicht.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Herhaal de proxyverbindingstest op elk knooppunt in uw cluster voor hybride databeveiliging.

                                                                                                                                                  Een knooppunt verwijderen

                                                                                                                                                  Gebruik deze procedure om een knooppunt voor hybride databeveiliging uit de Webex-cloud te verwijderen. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en de virtuele machine uit te schakelen.

                                                                                                                                                  2

                                                                                                                                                  Verwijder het knooppunt:

                                                                                                                                                  1. Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources voor hybride databeveiliging weer te geven.

                                                                                                                                                  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

                                                                                                                                                  4. Klik op Knooppuntenlijst openen.

                                                                                                                                                  5. Selecteer op het tabblad Knooppunten het knooppunt dat u wilt verwijderen.

                                                                                                                                                  6. Klik op Acties > Knooppunt uitschrijven.

                                                                                                                                                  3

                                                                                                                                                  Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

                                                                                                                                                  Als u de VM niet verwijdert, moet u het ISO-configuratiebestand loskoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken om toegang te krijgen tot uw beveiligingsgegevens.

                                                                                                                                                  Noodherstel met behulp van het stand-bydatacenter

                                                                                                                                                  De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt voor het coderen van berichten en andere inhoud die in de Webex-cloud is opgeslagen. Voor elke gebruiker binnen de organisatie die is toegewezen aan hybride databeveiliging, worden nieuwe aanvragen voor het maken van sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de sleutels die zijn gemaakt aan gebruikers die bevoegd zijn om ze op te halen, bijvoorbeeld leden van een gespreksruimte.

                                                                                                                                                  Omdat het cluster de kritieke functie van het leveren van deze sleutels vervult, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden behouden. Verlies van de database met hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van inhoud van de klant. De volgende praktijken zijn verplicht om een dergelijk verlies te voorkomen:

                                                                                                                                                  Als door een calamiteit de HDS-implementatie in het primaire datacenter niet meer beschikbaar is, volgt u deze procedure om handmatig te failover te gaan naar het stand-bydatacenter.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe of verwijder de passiveMode configuratie om het knooppunt actief te maken. Het knooppunt kan het verkeer afhandelen zodra dit is geconfigureerd.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de knooppunten van het stand-bydatacenter zich niet in de passieve modus bevinden. 'KMS geconfigureerd in de passieve modus' mag niet worden weergegeven in de syslogs.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als het primaire datacenter na failover weer actief wordt, plaatst u het stand-bydatacenter opnieuw in de passieve modus door de stappen te volgen die worden beschreven in Setup Standby Data Center for Disaster Recovery.

                                                                                                                                                  (Optioneel) ISO loskoppelen na HDS-configuratie

                                                                                                                                                  De standaard HDS-configuratie wordt uitgevoerd met de ISO gemonteerd. Maar sommige klanten geven er de voorkeur aan ISO-bestanden niet continu gemonteerd achter te laten. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

                                                                                                                                                  U gebruikt de ISO-bestanden nog steeds om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de installatietool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra al uw knooppunten de configuratiewijzigingen hebben overgenomen, kunt u de ISO opnieuw loskoppelen met deze procedure.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

                                                                                                                                                  1

                                                                                                                                                  Sluit een van uw HDS-knooppunten af.

                                                                                                                                                  2

                                                                                                                                                  Selecteer het HDS-knooppunt in het vCenter-serverapparaat.

                                                                                                                                                  3

                                                                                                                                                  Kies Instellingen bewerken > CD/DVD-station en ISO-gegevensopslagbestand uitschakelen.

                                                                                                                                                  4

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 20 minuten geen alarmen zijn.

                                                                                                                                                  5

                                                                                                                                                  Herhaal dit om de beurt voor elk HDS-knooppunt.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Waarschuwingen en problemen weergeven

                                                                                                                                                  Een implementatie voor hybride databeveiliging wordt als onbeschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als het cluster zo traag werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

                                                                                                                                                  • Nieuwe ruimten kunnen niet worden gemaakt (kan geen nieuwe sleutels maken)

                                                                                                                                                  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

                                                                                                                                                    • Nieuwe gebruikers toegevoegd aan een ruimte (kan geen toetsen ophalen)

                                                                                                                                                    • Bestaande gebruikers in een ruimte met een nieuwe client (kan geen sleutels ophalen)

                                                                                                                                                  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

                                                                                                                                                  Het is belangrijk dat u uw cluster voor hybride databeveiliging goed bewaakt en alle waarschuwingen onmiddellijk aanpakt om onderbrekingen van de service te voorkomen.

                                                                                                                                                  Waarschuwingen

                                                                                                                                                  Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen aan de organisatiebeheerder weer en worden e-mails naar het geconfigureerde e-mailadres verzonden. De waarschuwingen behandelen veel voorkomende scenario's.

                                                                                                                                                  Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

                                                                                                                                                  Alarm

                                                                                                                                                  Actie

                                                                                                                                                  Toegang tot lokale database mislukt.

                                                                                                                                                  Controleer op databasefouten of problemen met het lokale netwerk.

                                                                                                                                                  Lokale databaseverbinding mislukt.

                                                                                                                                                  Controleer of de databaseserver beschikbaar is en of de juiste serviceaccountgegevens zijn gebruikt in de knooppuntconfiguratie.

                                                                                                                                                  Toegang tot cloudservice mislukt.

                                                                                                                                                  Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Externe verbindingsvereisten.

                                                                                                                                                  Cloudserviceregistratie vernieuwen.

                                                                                                                                                  Registratie bij cloudservices is geschrapt. De registratie wordt vernieuwd.

                                                                                                                                                  Registratie van cloudservice is verbroken.

                                                                                                                                                  Registratie voor cloudservices is beëindigd. De service wordt afgesloten.

                                                                                                                                                  Service nog niet geactiveerd.

                                                                                                                                                  Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie.

                                                                                                                                                  Het geconfigureerde domein komt niet overeen met het servercertificaat.

                                                                                                                                                  Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

                                                                                                                                                  De meest waarschijnlijke oorzaak is dat de CN van het certificaat onlangs is gewijzigd en nu verschilt van de CN die tijdens de eerste installatie is gebruikt.

                                                                                                                                                  Kan niet verifiëren bij cloudservices.

                                                                                                                                                  Controleer of de gegevens van het serviceaccount correct zijn en mogelijk verlopen.

                                                                                                                                                  Kan lokaal keystore-bestand niet openen.

                                                                                                                                                  Controleer op integriteit en nauwkeurigheid van het wachtwoord in het lokale keystore-bestand.

                                                                                                                                                  Lokaal servercertificaat is ongeldig.

                                                                                                                                                  Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

                                                                                                                                                  Kan statistieken niet plaatsen.

                                                                                                                                                  Controleer de toegang van het lokale netwerk tot externe cloudservices.

                                                                                                                                                  /media/configdrive/hds directory bestaat niet.

                                                                                                                                                  Controleer de ISO-montageconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om opnieuw op te starten en of het met succes wordt geïnstalleerd.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met hybride databeveiliging.
                                                                                                                                                  1

                                                                                                                                                  Controleer Control Hub op waarschuwingen en los alle items op die u daar vindt.

                                                                                                                                                  2

                                                                                                                                                  Controleer de uitvoer van de syslog-server voor activiteit vanuit de implementatie voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Neem contact op met de ondersteuning van Cisco.

                                                                                                                                                  Andere opmerkingen

                                                                                                                                                  Bekende problemen voor hybride databeveiliging

                                                                                                                                                  • Als u uw cluster voor hybride databeveiliging afsluit (door het te verwijderen in Control Hub of door alle knooppunten af te sluiten), uw configuratie-ISO-bestand verliest of toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst met personen die zijn gemaakt met toetsen van uw KMS. Dit geldt zowel voor proefperioden als voor productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en dringen er bij u op aan om uw HDS-services niet af te sluiten zodra ze actieve gebruikersaccounts afhandelen.

                                                                                                                                                  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een periode (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefperiode voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken tot er een time-out optreedt. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact opneemt voor coderingssleutels.

                                                                                                                                                    Hetzelfde gedrag treedt op wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle niet-proefgebruikers met bestaande ECDH-verbindingen met de vorige gegevensbeveiligingsservices blijven deze services gebruiken totdat er opnieuw wordt onderhandeld over de ECDH-verbinding (via time-out of door afmelden en weer aanmelden).

                                                                                                                                                  OpenSSL gebruiken om een PKCS12-bestand te genereren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS Setup Tool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten niet op de een of andere manier.

                                                                                                                                                  • Als u ervoor kiest om OpenSSL te gebruiken, bieden we deze procedure aan als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

                                                                                                                                                  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

                                                                                                                                                  • Maak een privésleutel aan.

                                                                                                                                                  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificeringsinstantie (CA).

                                                                                                                                                  1

                                                                                                                                                  Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Geef het certificaat weer als tekst en controleer de details.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Gebruik een teksteditor om een certificaatbundelbestand met de naam hdsnode-bundle.pem. Het bundelbestand moet het servercertificaat, eventuele tussentijdse CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Maak het .p12-bestand met de vriendelijke naam kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controleer de gegevens van het servercertificaat.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Voer een wachtwoord in om de privésleutel te coderen, zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de lijnen bevatten friendlyName: kms-private-key.

                                                                                                                                                    Voorbeeld:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Ga terug naar Vereisten voor hybride databeveiliging voltooien. U gebruikt de hdsnode.p12 bestand en het wachtwoord dat u ervoor hebt ingesteld, in Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

                                                                                                                                                  Verkeer tussen de HDS-knooppunten en de cloud

                                                                                                                                                  Verkeer voor verzameling uitgaande statistieken

                                                                                                                                                  De knooppunten voor hybride databeveiliging sturen bepaalde statistieken naar de Webex-cloud. Dit zijn onder andere systeemstatistieken voor de maximale heap, gebruikte heap, CPU-belasting en draadtelling; statistieken over synchrone en asynchrone threads; statistieken over waarschuwingen met een drempelwaarde voor coderingsverbindingen, latentie of de lengte van een aanvraagwachtrij; statistieken over de gegevensopslag; en coderingsverbindingsstatistieken. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (gescheiden van het verzoekkanaal).

                                                                                                                                                  Inkomend verkeer

                                                                                                                                                  De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer vanuit de Webex-cloud:

                                                                                                                                                  • Coderingsverzoeken van clients die door de coderingsservice worden gerouteerd

                                                                                                                                                  • Upgrades naar de knooppuntsoftware

                                                                                                                                                  Squid-proxy's configureren voor hybride databeveiliging

                                                                                                                                                  Websocket kan geen verbinding maken via de Squid Proxy

                                                                                                                                                  Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de instelling van websocket ( wss:) verbindingen die Hybride databeveiliging vereist. Deze secties bieden richtlijnen voor het configureren van verschillende versies van Squid om te negeren wss: verkeer voor de goede werking van de diensten.

                                                                                                                                                  Inktvis 4 en 5

                                                                                                                                                  Voeg de on_unsupported_protocol richtlijn tot squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Pijlinktvis 3.5.27

                                                                                                                                                  We hebben hybride databeveiliging met succes getest met de volgende regels toegevoegd aan squid.conf. Deze regels kunnen worden gewijzigd bij het ontwikkelen van functies en het bijwerken van de Webex-cloud.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all

                                                                                                                                                  Voorwoord

                                                                                                                                                  Nieuwe en gewijzigde informatie

                                                                                                                                                  Datum

                                                                                                                                                  Aangebrachte wijzigingen

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  7 augustus 2023

                                                                                                                                                  23 mei 2023

                                                                                                                                                  6 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker-desktop.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  Er is op gewezen dat u het bestand met de privésleutel en de CSR opnieuw kunt gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie.

                                                                                                                                                  30 april 2021

                                                                                                                                                  De VM-vereiste voor lokale harde schijfruimte is gewijzigd naar 30 GB. Zie Vereisten voor virtuele hosts voor meer informatie.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  HDS-setuptool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO voor de HDS-hosts maken voor meer informatie.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu zonder gekoppeld ISO-bestand worden uitgevoerd. Zie (optioneel) ISO ontkoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Informatie toegevoegd over HDS-setuptool en proxy's om een configuratie-ISO voor de HDS-hosts te maken.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Installatiebestanden downloaden is bijgewerkt.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts en De knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt.

                                                                                                                                                  14 augustus 2020

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts bijgewerkt en De knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces.

                                                                                                                                                  5 augustus 2020

                                                                                                                                                  Uw implementatie van hybride databeveiliging testen bijgewerkt voor wijzigingen in logboekberichten.

                                                                                                                                                  Bijgewerkte vereisten voor virtuele hosts om het maximumaantal hosts te verwijderen.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Een knooppunt verwijderen bijgewerkt voor wijzigingen in de gebruikersinterface van Control Hub.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk instelt.

                                                                                                                                                  29 mei 2020

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts bijgewerkt om aan te tonen dat u ook TLS kunt gebruiken met SQL Server-databases, wijzigingen in de gebruikersinterface en andere verduidelijkingen.

                                                                                                                                                  5 mei 2020

                                                                                                                                                  Bijgewerkte vereisten voor virtuele host om de nieuwe vereiste voor ESXi 6.5 weer te geven.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Bijgewerkte vereisten voor externe connectiviteit met nieuwe Americas CI-hosts.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Bijgewerkte vereisten voor externe connectiviteit met informatie over regionale CI-hosts.

                                                                                                                                                  20 februari 2020Een configuratie-ISO maken voor de HDS-hosts bijgewerkt met informatie op het nieuwe optionele scherm Geavanceerde instellingen in de HDS-setuptool.
                                                                                                                                                  4 februari 2020Bijgewerkte Vereisten proxyserver.
                                                                                                                                                  16 december 2019De vereiste dat de modus voor geblokkeerde externe DNS-resolutie werkt in de Vereisten voor proxyserver is verduidelijkt.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende secties:

                                                                                                                                                  8 november 2019

                                                                                                                                                  U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van achteraf.

                                                                                                                                                  De volgende secties zijn dienovereenkomstig bijgewerkt:

                                                                                                                                                  De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 6.5. Deze optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  6 september 2019

                                                                                                                                                  SQL Server-standaard toegevoegd aan Vereisten voor databaseserver.

                                                                                                                                                  29 augustus 2019De bijlage Squid-proxy's configureren voor hybride databeveiliging is toegevoegd met richtlijnen voor het configureren van Squid-proxy's om WebSocket-verkeer te negeren voor de juiste werking.
                                                                                                                                                  20 augustus 2019

                                                                                                                                                  Gedeelten toegevoegd en bijgewerkt met betrekking tot proxyondersteuning voor knooppuntcommunicatie van hybride databeveiliging met de Webex-cloud.

                                                                                                                                                  Zie het Help-artikel Proxyondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie.

                                                                                                                                                  13 juni 2019Proefperiode naar productietaakstroom bijgewerkt met een herinnering om het groepsobject HdsTrialGroup te synchroniseren voordat u een proefperiode start als uw organisatie adreslijstsynchronisatie gebruikt.
                                                                                                                                                  6 maart 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • De hoeveelheid lokale harde schijfruimte per server die u opzij moet zetten bij het voorbereiden van de virtuele hosts die de knooppunten voor hybride databeveiliging worden, is gecorrigeerd van 50 GB naar 20 GB, om de schijfgrootte weer te geven die door de OVA wordt gemaakt.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Knooppunten voor hybride databeveiliging ondersteunen nu gecodeerde verbindingen met PostgreSQL-databaseservers en gecodeerde logboekverbindingen met een TLS-compatibele syslog-server. Een configuratie-ISO maken voor de HDS-hosts bijgewerkt met instructies.

                                                                                                                                                  • Bestemmings-URL's verwijderd uit de tabel 'Vereisten voor internetconnectiviteit voor VM's van knooppunten voor hybride databeveiliging'. De tabel verwijst nu naar de lijst die wordt bijgehouden in de tabel 'Aanvullende URL's voor hybride services van Webex Teams' van Netwerkvereisten voor Webex Teams-services.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybride databeveiliging ondersteunt nu Microsoft SQL Server als database. SQL Server Always On (Always On-failoverclusters en Always On-beschikbaarheidsgroepen) wordt ondersteund door de JDBC-stuurprogramma's die worden gebruikt in hybride databeveiliging. Inhoud toegevoegd met betrekking tot de implementatie met SQL-server.

                                                                                                                                                    Ondersteuning voor Microsoft SQL Server is alleen bedoeld voor nieuwe implementaties van Hybride databeveiliging. We ondersteunen momenteel geen migratie van gegevens van PostgreSQL naar Microsoft SQL Server in een bestaande implementatie.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 mei 2018

                                                                                                                                                  Terminologie gewijzigd om de rebranding van Cisco Spark weer te geven:

                                                                                                                                                  • Cisco Spark hybride databeveiliging is nu hybride databeveiliging.

                                                                                                                                                  • De Cisco Spark-app is nu de Webex-app.

                                                                                                                                                  • De Cisco Collaboration Cloud is nu de Webex-cloud.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • Geef in de tabel X.509-certificaatvereisten op dat het certificaat geen wildcardcertificaat mag zijn en dat de KMS het CN-domein gebruikt, niet elk domein dat is gedefinieerd in de SAN-velden x.509v3.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Adreslijstsynchronisatie van de HdsTrialGroup is verduidelijkt.

                                                                                                                                                  • Er zijn instructies opgelost voor het uploaden van het ISO-configuratiebestand voor de montage op de VM-knooppunten.

                                                                                                                                                  18 augustus 2017

                                                                                                                                                  Eerst gepubliceerd

                                                                                                                                                  Aan de slag met hybride databeveiliging

                                                                                                                                                  Overzicht van Hybride databeveiliging

                                                                                                                                                  Vanaf dag één is gegevensbeveiliging de primaire focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end-inhoudscodering, ingeschakeld door clients van de Webex-app die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografiesleutels die clients gebruiken om berichten en bestanden dynamisch te coderen en te decoderen.

                                                                                                                                                  Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride databeveiliging verplaatst de KMS en andere beveiligingsgerelateerde functies naar uw bedrijfsdatacenter, dus niemand maar u beschikt over de sleutels voor uw gecodeerde inhoud.

                                                                                                                                                  Architectuur beveiligingsrealm

                                                                                                                                                  De Webex-cloudarchitectuur scheidt verschillende typen services in verschillende realms of vertrouwensdomeinen, zoals hieronder afgebeeld.

                                                                                                                                                  Gescheiden ruimten (zonder hybride databeveiliging)

                                                                                                                                                  Laten we voor meer informatie over hybride databeveiliging eerst naar deze pure cloudcase kijken, waarbij Cisco alle functies in zijn clouddomeinen biedt. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks gecorreleerd kunnen worden met hun persoonlijke informatie, zoals hun e-mailadres, staat logischerwijs en fysiek los van de beveiligingsruimte in datacenter B. Beide staan op hun beurt los van de ruimte waar gecodeerde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

                                                                                                                                                  In dit diagram is de client de Webex-app die op de laptop van een gebruiker wordt uitgevoerd en is de identiteitsservice geverifieerd. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

                                                                                                                                                  1. De client brengt een beveiligde verbinding tot stand met de sleutelbeheerservice (KMS) en vraagt vervolgens een sleutel aan om het bericht te coderen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

                                                                                                                                                  2. Het bericht wordt gecodeerd voordat het de client verlaat. De client verzendt deze naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

                                                                                                                                                  3. Het gecodeerde bericht wordt naar de nalevingsservice verzonden voor nalevingscontroles.

                                                                                                                                                  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

                                                                                                                                                  Wanneer u hybride databeveiliging implementeert, verplaatst u de functies van de beveiligingsregio (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de rijken van Cisco.

                                                                                                                                                  Samenwerken met andere organisaties

                                                                                                                                                  Gebruikers in uw organisatie kunnen regelmatig de Webex-app gebruiken om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, leidt uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS op te halen. Vervolgens stuurt u de sleutel terug naar uw gebruiker op het oorspronkelijke kanaal.

                                                                                                                                                  De KMS-service die op Organisatie A wordt uitgevoerd, valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat dat u wilt gebruiken met uw implementatie van hybride databeveiliging.

                                                                                                                                                  Verwachtingen voor het implementeren van hybride databeveiliging

                                                                                                                                                  Installatieproces op hoog niveau

                                                                                                                                                  Dit document behandelt de installatie en het beheer van een implementatie van hybride databeveiliging:

                                                                                                                                                  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset van gebruikers in de proefmodus en het starten van de productiemodus zodra de tests zijn voltooid. Hiermee converteert u de hele organisatie naar uw cluster voor hybride databeveiliging voor beveiligingsfuncties.

                                                                                                                                                    De installatie-, proef- en productiefasen worden in detail behandeld in de volgende drie hoofdstukken.

                                                                                                                                                  • Uw implementatie van hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch doorlopende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig contact opnemen met Cisco-ondersteuning. U kunt meldingen op het scherm gebruiken en waarschuwingen op basis van e-mail instellen in Control Hub.

                                                                                                                                                  • Algemene waarschuwingen, stappen voor het oplossen van problemen en bekende problemen begrijpen: als u problemen ondervindt met het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen bij het bepalen en oplossen van het probleem.

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  In uw bedrijfsdatacenter implementeert u hybride databeveiliging als een enkele cluster knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

                                                                                                                                                  Tijdens het installatieproces voorzien we u van het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt koppelt. Het cluster voor hybride databeveiliging gebruikt uw opgegeven Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de Syslogd- en databaseverbindingsgegevens in de HDS-setuptool.)

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  Het minimum aantal knooppunten dat u in een cluster kunt hebben, is twee. We raden ten minste drie per cluster aan. Het hebben van meerdere knooppunten zorgt ervoor dat de service niet wordt onderbroken tijdens een software-upgrade of andere onderhoudsactiviteiten op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

                                                                                                                                                  Alle knooppunten in een cluster hebben toegang tot dezelfde belangrijke gegevensopslag en logboekactiviteit tot dezelfde syslog-server. De knooppunten zelf zijn staatloos en handelen sleutelverzoeken af op ronde-robin-manier, zoals aangegeven door de cloud.

                                                                                                                                                  Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt uit dienst wilt nemen, kunt u de registratie ongedaan maken en later indien nodig opnieuw registreren.

                                                                                                                                                  We ondersteunen slechts één cluster per organisatie.

                                                                                                                                                  Proefmodus hybride databeveiliging

                                                                                                                                                  Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u het eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw hybride databeveiligingsdomein op locatie voor coderingssleutels en andere services van de beveiligingsrealm. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.

                                                                                                                                                  Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de groepsgebruikers en eventuele gebruikers met wie ze communiceren door nieuwe ruimten te maken tijdens de proefperiode de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.

                                                                                                                                                  Als u tevreden bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilotgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, zoals noodherstel, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilotgebruikers instellen voor de nieuwe proefperiode voordat u teruggaat naar de productiemodus. Of gebruikers op dit punt toegang tot gegevens behouden, hangt af van het feit of u back-ups hebt onderhouden van de belangrijke gegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster.

                                                                                                                                                  Stand-by-datacenter voor noodherstel

                                                                                                                                                  Tijdens de implementatie stelt u een beveiligd stand-by datacenter in. In het geval van een datacenterramp kunt u de implementatie handmatig naar het stand-bydatacenter mislukken.

                                                                                                                                                  Vóór de failover heeft Datacenter A actieve HDS-knooppunten en de primaire PostgreSQL- of Microsoft SQL-serverdatabase, terwijl B een kopie heeft van het ISO-bestand met aanvullende configuraties, VM's die bij de organisatie zijn geregistreerd en een stand-bydatabase. Na failover heeft datacenter B actieve HDS-knooppunten en de primaire database, terwijl A niet-geregistreerde VM's en een kopie van het ISO-bestand heeft en de database in de stand-bymodus staat.
                                                                                                                                                  Handmatig failover naar stand-bydatacenter

                                                                                                                                                  De databases van de actieve en stand-bydatacenters zijn gesynchroniseerd met elkaar, waardoor de tijd die nodig is om de failover uit te voeren, wordt geminimaliseerd. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten worden geregistreerd bij de organisatie, maar geen verkeer verwerken. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van HDS-software.

                                                                                                                                                  De actieve knooppunten voor hybride databeveiliging moeten zich altijd in hetzelfde datacenter bevinden als de actieve databaseserver.

                                                                                                                                                  Stand-by-datacenter instellen voor noodherstel

                                                                                                                                                  Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-setuptool en volg de stappen die worden vermeld in Een configuratie-ISO voor de HDS-hosts maken.

                                                                                                                                                  Het ISO-bestand moet een kopie zijn van het oorspronkelijke ISO-bestand van het primaire datacenter waarop de volgende configuratie-updates moeten worden aangebracht.

                                                                                                                                                  2

                                                                                                                                                  Nadat u de Syslogd-server hebt geconfigureerd, klikt u op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar verwerkt het geen verkeer.

                                                                                                                                                   passieveModus: 'waar' 

                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  7

                                                                                                                                                  Klik op Instellingen bewerken >CD/DVD-station 1 en selecteer ISO-gegevensopslagbestand.

                                                                                                                                                  Zorg ervoor dat Verbonden en Verbinding maken bij inschakelen zijn ingeschakeld, zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.

                                                                                                                                                  Controleer de syslogs om te controleren of de knooppunten zich in de passieve modus bevinden. U moet het bericht 'KMS geconfigureerd in passieve modus' in de syslogs kunnen weergeven.

                                                                                                                                                  Nadat u de passiveMode in het ISO-bestand hebt geconfigureerd en hebt opgeslagen, kunt u nog een kopie van het ISO-bestand maken zonder de passiveMode -configuratie en het bestand opslaan op een veilige locatie. Deze kopie van het ISO-bestand zonder geconfigureerde passiveMode kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met stand-bydatacenter voor de gedetailleerde failoverprocedure.

                                                                                                                                                  Proxy ondersteuning

                                                                                                                                                  Hybride gegevensbeveiliging biedt ondersteuning voor expliciete, transparante inspectie en het niet-geïnspecteerde proxy's. U kunt deze proxy's koppelen aan uw implementatie zodat u verkeer van de onderneming kunt beveiligen en controleren naar de Cloud. U kunt een platformbeheer interface gebruiken op de knooppunten voor certificaatbeheer en de algehele verbindingsstatus controleren nadat u de proxy op de knooppunten hebt ingesteld.

                                                                                                                                                  De knooppunten voor hybride data beveiliging ondersteunen de volgende proxy opties:

                                                                                                                                                  • Geen proxy: de standaard als u het HDS-knooppunt niet gebruikt, stelt u de vertrouwensarchief- en proxyconfiguratie in om een proxy te integreren. Er is geen certificaat update vereist.

                                                                                                                                                  • Transparante proxy zonder inspectie: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres en hoeven geen wijzigingen te vereisen om te werken met een proxy zonder inspectie. Er is geen certificaat update vereist.

                                                                                                                                                  • Transparent tunneling of inspecting proxy: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres. Er zijn geen HTTP-of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).

                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welke proxyserver en verificatieschema moeten worden gebruikt. Als u een expliciete proxy wilt configureren, moet u op elk knooppunt de volgende informatie invoeren:

                                                                                                                                                    1. Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.

                                                                                                                                                    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

                                                                                                                                                      • HTTP: alle aanvragen die de client verzendt, worden weergegeven en beheerd.

                                                                                                                                                      • HTTPS: geeft een kanaal aan de server. De client ontvangt en valideert het certificaat van de server.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: geen verdere verificatie is vereist.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

                                                                                                                                                        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

                                                                                                                                                        Alleen beschikbaar als u HTTPS als proxy protocol selecteert.

                                                                                                                                                        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

                                                                                                                                                  Voorbeeld van knooppunten en proxy voor hybride data beveiliging

                                                                                                                                                  Dit diagram toont een voorbeeld van een verbinding tussen de hybride gegevensbeveiliging, het netwerk en een proxy. Voor de instellingen voor transparant inspecteren en HTTPS expliciet controleren, moeten dezelfde hoofdcertificaat op de proxy en op de knooppunten voor hybride data beveiliging worden geïnstalleerd.

                                                                                                                                                  Geblokkeerde externe DNS-omzettingsmodus (expliciete proxy configuraties)

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. In implementaties met expliciete proxyconfiguraties die geen externe DNS-omzetting voor interne clients toestaan, als het knooppunt de DNS-servers niet kan opvragen, wordt de geblokkeerde externe DNS-omzettingsmodus automatisch ingeschakeld. In deze modus kan de registratie van knooppunten en andere proxy connectiviteitstests worden voortgezet.

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  Vereisten voor hybride databeveiliging

                                                                                                                                                  Cisco Webex-licentievereisten

                                                                                                                                                  Hybride databeveiliging implementeren:

                                                                                                                                                  X.509-certificaatvereisten

                                                                                                                                                  De certificaatketen moet aan de volgende vereisten voldoen:

                                                                                                                                                  Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

                                                                                                                                                  Vereiste

                                                                                                                                                  Details

                                                                                                                                                  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

                                                                                                                                                  Standaard vertrouwen we de CA's in de lijst met Mozilla (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Draagt een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

                                                                                                                                                  • Is geen wildcardcertificaat

                                                                                                                                                  De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die overeenkomt met uw organisatie, bijvoorbeeld hds.bedrijf.com.

                                                                                                                                                  De algemene naam mag geen * (jokerteken) bevatten.

                                                                                                                                                  De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren naar Webex-app-clients. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  Wanneer u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat van toepassing kan zijn op zowel de proefperiode- als de productie-implementaties.

                                                                                                                                                  • Niet-SHA1-handtekening

                                                                                                                                                  De KMS-software biedt geen ondersteuning voor SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

                                                                                                                                                  • Opgemaakt als een met een wachtwoord beveiligd PKCS #12-bestand

                                                                                                                                                  • Gebruik de beschrijvende naam kms-private-key om het certificaat, de privésleutel en eventuele aanvullende certificaten te taggen om te uploaden.

                                                                                                                                                  U kunt een conversieprogramma zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

                                                                                                                                                  U moet het wachtwoord invoeren wanneer u de HDS-setuptool uitvoert.

                                                                                                                                                  De KMS-software dwingt geen beperkingen op het sleutelgebruik of het uitgebreide sleutelgebruik af. Sommige certificeringsinstanties vereisen dat uitgebreide gebruiksbeperkingen voor elk certificaat worden toegepast, zoals serververificatie. Het is oké om de serververificatie of andere instellingen te gebruiken.

                                                                                                                                                  Vereisten voor virtuele host

                                                                                                                                                  De virtuele hosts die u als knooppunten voor hybride databeveiliging in uw cluster instelt, hebben de volgende vereisten:

                                                                                                                                                  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich samen in hetzelfde beveiligde datacenter bevinden

                                                                                                                                                  • VMware ESXi 6.5 (of hoger) is geïnstalleerd en wordt uitgevoerd.

                                                                                                                                                    Als u een eerdere versie van ESXi hebt, moet u upgraden.

                                                                                                                                                  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

                                                                                                                                                  Vereisten voor databaseserver

                                                                                                                                                  Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. De HDS-toepassingen maken na installatie het databaseschema.

                                                                                                                                                  Er zijn twee opties voor databaseserver. De vereisten voor elk ervan zijn als volgt:

                                                                                                                                                  Tabel 2. Vereisten voor databaseserver per type database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

                                                                                                                                                  • SQL Server 2016, 2017 of 2019 (Enterprise of Standaard) geïnstalleerd.

                                                                                                                                                    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten)

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten)

                                                                                                                                                  De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL Server JDBC-stuurprogramma 4.6

                                                                                                                                                  Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover-clusterinstanties en Always On-beschikbaarheidsgroepen).

                                                                                                                                                  Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

                                                                                                                                                  Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

                                                                                                                                                  • De HDS-knooppunten, de Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

                                                                                                                                                  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees- en schrijftoegang hebben tot de database.

                                                                                                                                                  • De DNS-servers die u aan HDS-knooppunten verstrekt, moeten uw Key Distribution Center (KDC) kunnen oplossen.

                                                                                                                                                  • U kunt het exemplaar van de HDS-database op uw Microsoft SQL-server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een hoofdnaam voor de service registreren voor Kerberos-verbindingen.

                                                                                                                                                    De HDS-setuptool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de details uit uw ISO-configuratie om de SPN te maken wanneer ze toegang aanvragen met Kerberos-verificatie.

                                                                                                                                                  Vereisten voor externe connectiviteit

                                                                                                                                                  Configureer uw firewall om de volgende connectiviteit voor de HDS-toepassingen toe te staan:

                                                                                                                                                  Toepassing

                                                                                                                                                  Protocol

                                                                                                                                                  Poort

                                                                                                                                                  Richting vanuit app

                                                                                                                                                  Bestemming

                                                                                                                                                  Knooppunten voor hybride databeveiliging

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS en WSS

                                                                                                                                                  • Webex-servers:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • Andere URL's die voor hybride databeveiliging worden vermeld in de tabel Aanvullende URL's voor hybride Webex-services met Netwerkvereisten voor Webex-services

                                                                                                                                                  HDS-setuptool

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • hub.docker.com

                                                                                                                                                  De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de vorige tabel toestaat. Voor verbindingen die inkomend naar de knooppunten voor hybride databeveiliging gaan, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22 voor administratieve doeleinden.

                                                                                                                                                  De URL's voor de Common Identity-hosts (CI) zijn regiospecifiek. Dit zijn de huidige CI-hosts:

                                                                                                                                                  Regio

                                                                                                                                                  URL's van host van algemene identiteit

                                                                                                                                                  Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europese Unie

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Vereisten voor de proxy server

                                                                                                                                                  • We ondersteunen de volgende proxy oplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride data beveiliging.

                                                                                                                                                    • Transparante proxy: Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Expliciete proxy-pijlinktvis.

                                                                                                                                                      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:) verstoren. Zie Squid-proxy's configureren voor hybride databeveiliging om dit probleem te omzeilen.

                                                                                                                                                  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

                                                                                                                                                    • Geen verificatie met HTTP of HTTPS

                                                                                                                                                    • Basisverificatie met HTTP of HTTPS

                                                                                                                                                    • Alleen verificatiesamenvatting met HTTPS

                                                                                                                                                  • Voor een transparante inspectie proxy of een HTTPS-expliciete proxy moet u een kopie van de hoofdcertificaat van de proxy hebben. De implementatie-instructies in deze handleiding geven aan hoe u de kopie kunt uploaden naar de vertrouwens archieven van de hybride Data Security-knooppunten.

                                                                                                                                                  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 af te ronden via de proxy.

                                                                                                                                                  • Proxy's die het webverkeer controleren, kunnen de WebSocket-verbindingen belemmeren. Als dit probleem zich voordoet, kunt u het probleem oplossen door het verkeer niet te controleren op wbx2.com en ciscospark.com .

                                                                                                                                                  Voldoen aan de vereisten voor hybride databeveiliging

                                                                                                                                                  Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
                                                                                                                                                  1

                                                                                                                                                  Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en haal de referenties op van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

                                                                                                                                                  2

                                                                                                                                                  Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  3

                                                                                                                                                  Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt minimaal twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter staan en die voldoen aan de vereisten in Vereisten voor virtuele hosts.

                                                                                                                                                  4

                                                                                                                                                  Bereid de databaseserver voor die fungeert als de belangrijkste gegevensopslag voor het cluster, volgens de Vereisten van de databaseserver. De databaseserver moet in het beveiligde datacenter samen met de virtuele hosts worden geplaatst.

                                                                                                                                                  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik niet de standaarddatabase. De HDS-toepassingen maken na installatie het databaseschema.)

                                                                                                                                                  2. Verzamel de details die de knooppunten gebruiken om te communiceren met de databaseserver:

                                                                                                                                                    • de hostnaam of het IP-adres (host) en de poort

                                                                                                                                                    • de naam van de database (dbname) voor sleutelopslag

                                                                                                                                                    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de sleutelopslagdatabase

                                                                                                                                                  5

                                                                                                                                                  Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft waarop HDS-knooppunten worden uitgevoerd, moet de back-upomgeving 3 VM's hebben.

                                                                                                                                                  6

                                                                                                                                                  Stel een syslog-host in om logboeken van de knooppunten in het cluster te verzamelen. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Maak een beveiligd back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.

                                                                                                                                                  Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die voor het coderen en decoderen van inhoud worden gebruikt, zal het niet onderhouden van een operationele implementatie leiden tot ONHERSTELBAAR VERLIES van die inhoud.

                                                                                                                                                  Webex-app-clients slaan hun sleutels in het cachegeheugen, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen onmogelijk te voorkomen zijn, zijn ze herstelbaar. Een volledig verlies (er zijn geen back-ups beschikbaar) van de database of het ISO-configuratiebestand zal echter resulteren in onherstelbare klantgegevens. Van de operatoren van de knooppunten voor hybride databeveiliging wordt verwacht dat ze frequente back-ups van de database en het ISO-configuratiebestand bijhouden en dat ze voorbereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als zich een catastrofale storing voordoet.

                                                                                                                                                  8

                                                                                                                                                  Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw knooppunten voor hybride databeveiliging mogelijk maakt, zoals beschreven in Vereisten voor externe connectiviteit.

                                                                                                                                                  9

                                                                                                                                                  Installeer Docker ( https://www.docker.com) op een lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft op http://127.0.0.1:8080.

                                                                                                                                                  U gebruikt de Docker-instantie om de HDS Setup Tool te downloaden en uit te voeren, waarmee de lokale configuratiegegevens voor alle knooppunten voor hybride databeveiliging worden opgebouwd. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker-desktops voor meer informatie.

                                                                                                                                                  Als u de HDS-setuptool wilt installeren en uitvoeren, moet de lokale machine de verbinding hebben die wordt beschreven in Vereisten voor externe connectiviteit.

                                                                                                                                                  10

                                                                                                                                                  Als u een proxy integreert met hybride databeveiliging, moet u controleren of deze voldoet aan de vereisten voor de proxyserver.

                                                                                                                                                  11

                                                                                                                                                  Als uw organisatie gebruikmaakt van adreslijstsynchronisatie, maakt u in Active Directory een groep met de naam HdsTrialGroup en voegt u pilotgebruikers toe. De proefperiodegroep kan maximaal 250 gebruikers bevatten. Het HdsTrialGroup -object moet zijn gesynchroniseerd met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Als u een groepsobject wilt synchroniseren, selecteert u het in het menu Configuratie > Objectselectie van de directoryconnector. (Zie de Implementatiehandleiding voor Cisco Directoryconnector voor gedetailleerde instructies.)

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Houd er bij het selecteren van pilotgebruikers rekening mee dat als u besluit de implementatie van hybride databeveiliging permanent te deactiveren, alle gebruikers de toegang verliezen tot inhoud in de ruimten die door de pilotgebruikers zijn gemaakt. Het verlies wordt duidelijk zodra de apps van gebruikers hun gecachte kopieën van de inhoud vernieuwen.

                                                                                                                                                  Een cluster voor hybride databeveiliging instellen

                                                                                                                                                  Taakstroom implementatie hybride databeveiliging

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  1

                                                                                                                                                  Voer de eerste installatie uit en download installatiebestanden

                                                                                                                                                  Download het OVA-bestand naar uw lokale machine voor later gebruik.

                                                                                                                                                  2

                                                                                                                                                  Een configuratie-ISO voor de HDS-hosts maken

                                                                                                                                                  Gebruik de HDS-setuptool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Maak een virtuele machine met het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.

                                                                                                                                                  De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 6.5. Deze optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  4

                                                                                                                                                  VM voor hybride databeveiliging instellen

                                                                                                                                                  Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

                                                                                                                                                  5

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-setuptool.

                                                                                                                                                  6

                                                                                                                                                  Configureer het HDS-knooppunt voor proxy-integratie

                                                                                                                                                  Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u het proxycertificaat indien nodig toe aan de vertrouwensopslag.

                                                                                                                                                  7

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Registreer de VM bij de Cisco Webex-cloud als knooppunt voor hybride databeveiliging.

                                                                                                                                                  8

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Voltooi de clustersetup.

                                                                                                                                                  9

                                                                                                                                                  Een proefperiode uitvoeren en naar productie gaan (volgend hoofdstuk)

                                                                                                                                                  Totdat u een proefperiode start, genereren uw knooppunten een alarm dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). U kunt dit bestand later in het installatieproces gebruiken.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en klik vervolgens op Services.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik vervolgens op Instellen.

                                                                                                                                                  Als de kaart is uitgeschakeld of als u deze niet ziet, neemt u contact op met uw accountteam of uw partnerorganisatie. Geef hun uw accountnummer en vraag hen hybride databeveiliging in te schakelen voor uw organisatie. Klik op het tandwieltje rechtsboven naast de naam van uw organisatie om het accountnummer te vinden.

                                                                                                                                                  U kunt de OVA ook op elk moment downloaden via het gedeelte Help op de pagina Instellingen . Klik op de kaart met hybride databeveiliging op Instellingen bewerken om de pagina te openen. Klik vervolgens in het gedeelte Help op Software voor hybride databeveiliging downloaden .

                                                                                                                                                  Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de meest recente versie van het OVA-bestand downloadt.

                                                                                                                                                  3

                                                                                                                                                  Selecteer Nee om aan te geven dat u het knooppunt nog niet hebt ingesteld en klik vervolgens op Volgende.

                                                                                                                                                  Het downloaden van het OVA-bestand wordt automatisch gestart. Sla het bestand op een locatie op uw computer op.
                                                                                                                                                  4

                                                                                                                                                  U kunt ook op Implementatiehandleiding openen klikken om te controleren of er een nieuwere versie van deze handleiding beschikbaar is.

                                                                                                                                                  Een configuratie-ISO voor de HDS-hosts maken

                                                                                                                                                  Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Control Hub-account met volledige beheerdersrechten voor uw organisatie vereist.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

                                                                                                                                                  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:

                                                                                                                                                    • Aanmeldgegevens database

                                                                                                                                                    • Certificaatupdates

                                                                                                                                                    • Wijzigingen in autorisatiebeleid

                                                                                                                                                  • Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.

                                                                                                                                                  1

                                                                                                                                                  Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stabiel

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stabiel

                                                                                                                                                  Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

                                                                                                                                                  2

                                                                                                                                                  Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download de nieuwste stabiele afbeelding voor uw omgeving:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stabiel

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stabiel
                                                                                                                                                  5

                                                                                                                                                  Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                  • In normale omgevingen zonder proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

                                                                                                                                                  6

                                                                                                                                                  De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

                                                                                                                                                  Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de klantbeheerder voor Control Hub in bij de prompt.

                                                                                                                                                  Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

                                                                                                                                                  7

                                                                                                                                                  Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de klantbeheerder van Control Hub in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

                                                                                                                                                  8

                                                                                                                                                  Klik op de overzichtspagina van de setuptool op Aan de slag.

                                                                                                                                                  9

                                                                                                                                                  Op de pagina ISO-import hebt u de volgende opties:

                                                                                                                                                  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
                                                                                                                                                  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de blader en uploadt u het.
                                                                                                                                                  10

                                                                                                                                                  Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  • Als u nog nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat OK is, klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat is verlopen of u het wilt vervangen, selecteert u Nee voor Doorgaan met het gebruik van de HDS-certificaatketen en privésleutel van vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
                                                                                                                                                  11

                                                                                                                                                  Voer het databaseadres en het account in voor HDS om toegang te krijgen tot uw belangrijke gegevensopslag:

                                                                                                                                                  1. Selecteer uw databasetype (PostgreSQL of Microsoft SQL Server).

                                                                                                                                                    Als u Microsoft SQL Server kiest, wordt het veld Verificatietype weergegeven.

                                                                                                                                                  2. (Alleen Microsoft SQL-server ) Selecteer uw verificatietype:

                                                                                                                                                    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam .

                                                                                                                                                    • Windows-verificatie: U hebt een Windows-account nodig met de indeling gebruikersnaam@DOMEIN in het veld Gebruikersnaam .

                                                                                                                                                  3. Voer het adres van de databaseserver in de vorm : of : in.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    dbhost.example.org:1433 of 198.51.100.17:1433

                                                                                                                                                    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

                                                                                                                                                    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

                                                                                                                                                  4. Voer de Databasenaam in.

                                                                                                                                                  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten op de sleutelopslagdatabase.

                                                                                                                                                  12

                                                                                                                                                  Selecteer een TLS-databaseverbindingsmodus:

                                                                                                                                                  Mode

                                                                                                                                                  Beschrijving

                                                                                                                                                  Voorkeur geven aan TLS (standaardoptie)

                                                                                                                                                  HDS-knooppunten vereisen geen TLS om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

                                                                                                                                                  TLS verplichten

                                                                                                                                                  HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

                                                                                                                                                  TLS verplichten en certificaat ondertekenaar verifiëren

                                                                                                                                                  Deze modus is niet van toepassing op SQL Server-databases.

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het Basiscertificaat van de database. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

                                                                                                                                                  Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

                                                                                                                                                  TLS verplichten en certificaat ondertekenaar en hostnaam verifiëren

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het Basiscertificaat van de database. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

                                                                                                                                                  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databashost en poort . De namen moeten exact overeenkomen, of de verbinding wordt door het knooppunt ingspunt laten merken.

                                                                                                                                                  Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

                                                                                                                                                  Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-setuptool de TLS-verbinding met de databaseserver. De tool controleert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, wordt er een foutmelding weergegeven waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de machine van de HDS-setuptool deze niet kan testen.)

                                                                                                                                                  13

                                                                                                                                                  Configureer uw Syslogd-server op de pagina Systeemlogboeken:

                                                                                                                                                  1. Voer de URL van de syslog-server in.

                                                                                                                                                    Als de server niet door het DNS kan worden omgezet vanaf de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij de Syslogd-host 10.92.43.23 op UDP-poort 514.
                                                                                                                                                  2. Als u uw server zo instelt dat deze TLS-codering gebruikt, schakelt u het selectievakje Is uw syslog-server geconfigureerd voor SSL-codering? in.

                                                                                                                                                    Als u dit selectievakje inschakelt, moet u een TCP-URL zoals tcp://10.92.43.23:514 invoeren.

                                                                                                                                                  3. Kies in de vervolgkeuzelijst Syslog-record beëindigen kiezen de juiste instelling voor uw ISO-bestand: Kiezen of nieuwe lijn wordt gebruikt voor Graylog en Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Regeleinde -- \n: selecteer deze keuze voor Graylog en Rsyslog TCP.

                                                                                                                                                  4. Klik op Doorgaan.

                                                                                                                                                  14

                                                                                                                                                  (Optioneel) U kunt de standaardwaarde voor sommige parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u mogelijk wilt wijzigen:

                                                                                                                                                  app_datasource_connection_pool_maxGrootte: 10
                                                                                                                                                  15

                                                                                                                                                  Klik op Doorgaan in het scherm Wachtwoord voor serviceaccounts herstellen .

                                                                                                                                                  Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u ze wilt herstellen om eerdere ISO-bestanden ongeldig te maken.

                                                                                                                                                  16

                                                                                                                                                  Klik op ISO-bestand downloaden. Sla het bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  17

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem.

                                                                                                                                                  Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  18

                                                                                                                                                  Als u de setuptool wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten te maken voor herstel of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het is niet mogelijk om de sleutels te herstellen van uw PostgreSQL- of Microsoft SQL Server-database.

                                                                                                                                                  We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze verliest.

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Gebruik deze procedure om een virtuele machine te maken van het OVA-bestand.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

                                                                                                                                                  2

                                                                                                                                                  Selecteer Bestand > OVF-sjabloon implementeren.

                                                                                                                                                  3

                                                                                                                                                  Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

                                                                                                                                                  4

                                                                                                                                                  Op de pagina Een naam en map selecteren voert u een naam van de virtuele machine in voor het knooppunt (bijvoorbeeld 'HDS_Node_1'), kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Kies op de pagina Een rekenresource selecteren de bestemming van de rekenresource en klik vervolgens op Volgende.

                                                                                                                                                  Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloongegevens weergegeven.

                                                                                                                                                  6

                                                                                                                                                  Controleer de sjabloongegevens en klik vervolgens op Volgende.

                                                                                                                                                  7

                                                                                                                                                  Als u wordt gevraagd de resourceneconfiguratie op de pagina Configuratie te kiezen, klikt u op 4 CPU en vervolgens op Volgende.

                                                                                                                                                  8

                                                                                                                                                  Klik op de pagina Opslag selecteren op Volgende om het standaard schijfindeling en het VM-opslagbeleid te accepteren.

                                                                                                                                                  9

                                                                                                                                                  Op de pagina Netwerken selecteren kiest u de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

                                                                                                                                                  10

                                                                                                                                                  Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen :

                                                                                                                                                  • Hostnaam: voer de FQDN (hostnaam en domein) of een enkele woord hostnaam voor het knooppunt in.
                                                                                                                                                    • U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                    • Gebruik alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld om een succesvolle registratie bij de cloud te garanderen. Hoofdletters worden momenteel niet ondersteund.

                                                                                                                                                    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

                                                                                                                                                  • IP-adres: voer het IP-adres in voor de interne interface van het knooppunt.

                                                                                                                                                    Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  • Masker: voer het adres van het subnetmasker in puntdecimale notatie in. Bijvoorbeeld 255.255.255.0.
                                                                                                                                                  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat dienst doet als een toegangspunt naar een ander netwerk.
                                                                                                                                                  • DNS-servers: voer een door komma's gescheiden lijst in met DNS-servers die domeinnamen naar numerieke IP-adressen vertalen. (Er zijn maximaal 4 DNS-vermeldingen toegestaan.)
                                                                                                                                                  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die voor uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
                                                                                                                                                  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster voor administratieve doeleinden bereikbaar zijn vanaf clients in uw netwerk.

                                                                                                                                                  Indien gewenst kunt u de configuratie van de netwerkinstelling overslaan en de stappen volgen in De VM voor hybride databeveiliging instellen om de instellingen te configureren vanuit de knooppuntconsole.

                                                                                                                                                  De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 6.5. Deze optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  11

                                                                                                                                                  Klik met de rechtermuisknop op het knooppunt VM en kies Aan/uit > Inschakelen.

                                                                                                                                                  De software voor hybride databeveiliging wordt als gast geïnstalleerd op de VM-host. U bent nu klaar om u aan te melden bij de console en het knooppunt te configureren.

                                                                                                                                                  Tips voor probleemoplossing

                                                                                                                                                  U kunt een vertraging van enkele minuten ervaren voordat de knooppuntcontainers omhoog komen. Tijdens de eerste keer opstarten verschijnt een bridge-firewallbericht op de console, waarbij u zich niet kunt aanmelden.

                                                                                                                                                  VM voor hybride databeveiliging instellen

                                                                                                                                                  Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en om de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

                                                                                                                                                  1

                                                                                                                                                  Selecteer in de VMware vSphere-client de VM van uw knooppunt voor hybride databeveiliging en het tabblad Console .

                                                                                                                                                  De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldingsprompt niet wordt weergegeven, drukt u op Enter.
                                                                                                                                                  2

                                                                                                                                                  Gebruik de volgende standaardaanmeldgegevens en -wachtwoorden om u aan te melden en de aanmeldgegevens te wijzigen:

                                                                                                                                                  1. Aanmelden: beheer

                                                                                                                                                  2. Wachtwoord: Cisco

                                                                                                                                                  Aangezien u zich voor de eerste keer bij uw VM aanmeldt, moet u het beheerderswachtwoord wijzigen.

                                                                                                                                                  3

                                                                                                                                                  Als u de netwerkinstellingen al hebt geconfigureerd in De HDS-host-OVA installeren, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken .

                                                                                                                                                  4

                                                                                                                                                  Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  5

                                                                                                                                                  (Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om overeen te stemmen met uw netwerkbeleid.

                                                                                                                                                  U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                  6

                                                                                                                                                  Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen worden doorgevoerd.

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-setuptool.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Omdat het ISO-bestand de hoofdsleutel bevat, mag deze alleen worden weergegeven op een 'need to know'-basis, voor toegang door de VM's van hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen deze beheerders toegang hebben tot de gegevensopslag.

                                                                                                                                                  1

                                                                                                                                                  Upload het ISO-bestand vanaf uw computer:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

                                                                                                                                                  2. Klik op de lijst Hardware van het tabblad Configuratie op Opslag.

                                                                                                                                                  3. Klik in de lijst Gegevensopslag met de rechtermuisknop op de gegevensopslag voor uw VM's en klik op Gegevensopslag bladeren.

                                                                                                                                                  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

                                                                                                                                                  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

                                                                                                                                                  6. Klik op Ja om de waarschuwing voor het uploaden/downloaden te accepteren en sluit het dialoogvenster Gegevensopslag.

                                                                                                                                                  2

                                                                                                                                                  Koppel het ISO-bestand:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  2. Klik op OK om de waarschuwing met beperkte bewerkingsopties te accepteren.

                                                                                                                                                  3. Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanuit een ISO-bestand van de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

                                                                                                                                                  4. Schakel Verbonden en Verbinding maken na inschakelen in.

                                                                                                                                                  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als uw IT-beleid dat vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (optioneel) ISO ontkoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  Configureer het HDS-knooppunt voor proxy-integratie

                                                                                                                                                  Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride gegevensbeveiliging. Als u een transparante inspectering proxy of een HTTPS-expliciete proxy kiest, kunt u de interface van het knooppunt gebruiken om de hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding vanuit de interface controleren en mogelijke problemen oplossen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  1

                                                                                                                                                  Voer de installatie-URL van het HDS-knooppunt https://[HDS node IP of FQDN]/Setup in een webbrowser in, voer de beheerders gegevens in die u hebt ingesteld voor het knooppunt en klik vervolgens op aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar vertrouwens archieven voor vertrouwde proxyen kies een optie:

                                                                                                                                                  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaat update vereist.
                                                                                                                                                  • Transparent Non-Inspecting Proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaat update vereist.
                                                                                                                                                  • Proxy transparant inspecteren: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen wijzigingen in de HTTPS-configuratie nodig voor de implementatie van hybride data beveiliging, de HDS-knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).
                                                                                                                                                  • Expliciete proxy: met expliciete proxy vertelt u de client (HDS-knooppunten) welke proxyserver moet worden gebruikt en deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
                                                                                                                                                    1. Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.

                                                                                                                                                    3. Proxyprotocol: kies http (toont en beheert alle verzoeken die zijn ontvangen van de client) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: geen verdere verificatie is vereist.

                                                                                                                                                        Beschikbaar voor HTTP-of HTTPS-proxy's.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.

                                                                                                                                                        Beschikbaar voor HTTP-of HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

                                                                                                                                                        Alleen beschikbaar voor HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                  Volg de volgende stappen voor een transparante inspectie proxy, een HTTP Explicit-proxy met basisverificatie of een HTTPS-expliciete proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik op een hoofdcertificaat of eindentiteit certificaat uploadenen navigeer vervolgens naar een kies de hoofdcertificaat voor de proxy.

                                                                                                                                                  Het certificaat is geüpload, maar is nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijlpunt punthaak op de naam van de certificaatuitgever voor meer informatie of klik op verwijderen Als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

                                                                                                                                                  4

                                                                                                                                                  Klik op proxy verbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

                                                                                                                                                  Als de verbindingstest mislukt, wordt er een foutbericht weergegeven met de reden en hoe u het probleem kunt oplossen.

                                                                                                                                                  Als u een bericht ziet dat de externe DNS-omzetting niet is geslaagd, kan het knooppunt de DNS-server niet bereiken. Deze situatie wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de geblokkeerde externe DNS-omzettingsmodus. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u vervolgens Modus voor geblokkeerde externe DNS-resolutie uitschakelen.

                                                                                                                                                  5

                                                                                                                                                  Nadat de verbindingstest is geslaagd, voor expliciete proxy ingesteld op alleen https, schakelt u het in-/uitschakelen in om alle poort 443/444 HTTPS-aanvragen van dit knooppunt te routeren via de expliciete proxy. Deze instelling vereist 15 seconden om van kracht te worden.

                                                                                                                                                  6

                                                                                                                                                  Klik op alle certificaten installeren in het vertrouwde archief (wordt weergegeven voor een HTTPS-expliciete proxy of een transparante inspectie proxy) of opnieuw opstarten (wordt weergegeven voor een http-expliciete proxy), lees de prompt en klik vervolgens op installeren Als u klaar bent.

                                                                                                                                                  Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

                                                                                                                                                  7

                                                                                                                                                  Nadat het knooppunt opnieuw is opgestart, meldt u zich opnieuw aan indien nodig en opent u de overzichts pagina om te controleren of ze allemaal in de groene status zijn.

                                                                                                                                                  De controle van de proxyverbinding test alleen een subdomein van webex.com. Als er problemen zijn met de verbinding, is een veelvoorkomend probleem dat sommige Cloud domeinen die worden vermeld in de installatie-instructies, worden geblokkeerd op de proxy.

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Bij deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in De VM voor hybride databeveiliging instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

                                                                                                                                                  Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd voor redundantie.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Selecteer Services in het menu aan de linkerkant van het scherm.

                                                                                                                                                  3

                                                                                                                                                  Zoek in het gedeelte Hybride services naar Hybride databeveiliging en klik op Instellen.

                                                                                                                                                  De pagina Knooppunt voor hybride databeveiliging registreren wordt weergegeven.
                                                                                                                                                  4

                                                                                                                                                  Selecteer Ja om aan te geven dat u het knooppunt hebt ingesteld en klaar bent om het te registreren. Klik vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Voer in het eerste veld een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

                                                                                                                                                  We raden u aan een cluster een naam te geven op basis van de plaats waar de knooppunten van de cluster zich geografisch bevinden. Voorbeelden: "San Francisco", "New York" of "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                  Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein die u hebt gebruikt in De VM voor hybride databeveiliging instellen.

                                                                                                                                                  Er wordt een bericht weergegeven dat aangeeft dat u uw knooppunt kunt registreren bij de Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik op Naar knooppunt gaan.

                                                                                                                                                  8

                                                                                                                                                  Klik in het waarschuwingsbericht op Doorgaan .

                                                                                                                                                  Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  9

                                                                                                                                                  Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                  Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
                                                                                                                                                  10

                                                                                                                                                  Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging van Control Hub.

                                                                                                                                                  Op de pagina Hybride databeveiliging wordt de nieuwe cluster weergegeven met het knooppunt dat u hebt geregistreerd. Het knooppunt downloadt automatisch de nieuwste software uit de cloud.

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Om extra knooppunten aan uw cluster toe te voegen, maakt u extra VM's en koppelt u hetzelfde ISO-configuratiebestand. Vervolgens registreert u het knooppunt. We raden aan dat u minimaal 3 knooppunten hebt.

                                                                                                                                                  Op dit moment zijn de back-up-VM's die u hebt gemaakt in Voldoen aan de vereisten voor hybride databeveiliging stand-byhosts die alleen worden gebruikt in het geval van noodherstel. Ze zijn tot dan niet bij het systeem geregistreerd. Zie Noodherstel met stand-bydatacenter voor meer informatie.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Maak een nieuwe virtuele machine van de OVA en herhaal de stappen in De HDS-host-OVA installeren.

                                                                                                                                                  2

                                                                                                                                                  Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De VM voor hybride databeveiliging instellen.

                                                                                                                                                  3

                                                                                                                                                  Herhaal op de nieuwe VM de stappen in De HDS-configuratie-ISO uploaden en koppelen.

                                                                                                                                                  4

                                                                                                                                                  Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Het HDS-knooppunt configureren voor proxyintegratie indien nodig voor het nieuwe knooppunt.

                                                                                                                                                  5

                                                                                                                                                  Registreer het knooppunt.

                                                                                                                                                  1. Selecteer in https://admin.webex.comServices in het menu aan de linkerkant van het scherm.

                                                                                                                                                  2. Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik op Resources.

                                                                                                                                                    De pagina Resources hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3. Klik op Resource toevoegen.

                                                                                                                                                  4. Selecteer in het eerste veld de naam van uw bestaande cluster.

                                                                                                                                                  5. Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                    Er wordt een bericht weergegeven dat aangeeft dat u uw knooppunt kunt registreren bij de Webex-cloud.
                                                                                                                                                  6. Klik op Naar knooppunt gaan.

                                                                                                                                                    Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
                                                                                                                                                  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging van Control Hub.

                                                                                                                                                  Uw knooppunt is geregistreerd. Houd er rekening mee dat totdat u een proefperiode start, uw knooppunten een alarm genereren dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Een proefperiode uitvoeren en naar productie gaan (volgend hoofdstuk)

                                                                                                                                                  Een proefperiode uitvoeren en naar productie gaan

                                                                                                                                                  Proces-naar-productietaakstroom

                                                                                                                                                  Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers eraan toevoegen en deze gaan gebruiken voor het testen en verifiëren van uw implementatie als voorbereiding op de overgang naar productie.

                                                                                                                                                  1

                                                                                                                                                  Synchroniseer indien van toepassing het groepsobject HdsTrialGroup .

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u het groepsobject HdsTrialGroup selecteren dat moet worden gesynchroniseerd met de cloud voordat u een proefperiode kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  2

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd.

                                                                                                                                                  3

                                                                                                                                                  Uw implementatie van hybride databeveiliging testen

                                                                                                                                                  Controleer of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Hybride databeveiliging controleren

                                                                                                                                                  Controleer de status en stel e-mailmeldingen in voor alarmen.

                                                                                                                                                  5

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  6

                                                                                                                                                  Voltooi de proeffase met een van de volgende acties:

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Als uw organisatie gebruikmaakt van adreslijstsynchronisatie voor gebruikers, moet u het groepsobject HdsTrialGroup selecteren voor synchronisatie met de cloud, voordat u een proefperiode voor uw organisatie kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Proefperiode starten.

                                                                                                                                                  De servicestatus verandert in de proefmodus.
                                                                                                                                                  4

                                                                                                                                                  Klik op Gebruikers toevoegen en voer het e-mailadres in van een of meer gebruikers die een pilot moeten uitvoeren met uw knooppunten voor hybride databeveiliging voor encryptie- en indexeringsservices.

                                                                                                                                                  (Als uw organisatie gebruikmaakt van adreslijstsynchronisatie, gebruikt u Active Directory om de proefperiodegroep HdsTrialGroup te beheren.)

                                                                                                                                                  Uw implementatie van hybride databeveiliging testen

                                                                                                                                                  Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging te testen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Stel uw implementatie voor hybride databeveiliging in.

                                                                                                                                                  • Activeer de proefperiode en voeg meerdere proefgebruikers toe.

                                                                                                                                                  • Zorg ervoor dat u toegang hebt tot het syslog om te controleren of belangrijke verzoeken naar uw implementatie voor hybride databeveiliging worden doorgestuurd.

                                                                                                                                                  1

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilotgebruikers, maak vervolgens een ruimte en nodig ten minste één pilotgebruiker en één niet-pilotgebruiker uit.

                                                                                                                                                  Als u de implementatie voor hybride databeveiliging deactiveert, is inhoud in ruimten die door pilootgebruikers worden gemaakt, niet meer toegankelijk zodra de kopieën in de cache van de client van de coderingssleutels zijn vervangen.

                                                                                                                                                  2

                                                                                                                                                  Verzend berichten naar de nieuwe ruimte.

                                                                                                                                                  3

                                                                                                                                                  Controleer de syslog-uitvoer om te verifiëren of de sleutelverzoeken naar uw implementatie voor hybride databeveiliging gaan.

                                                                                                                                                  1. Als u wilt controleren of een gebruiker eerst een beveiligd kanaal naar de KMS instelt, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    U vindt een vermelding als het volgende (identifiers shortened for readability):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_SLEUTEL_VERZAMELING, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Als u wilt controleren of een gebruiker een bestaande sleutel van de KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

                                                                                                                                                    U zoekt naar een invoer die er als volgt uitziet:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Als u wilt controleren of een gebruiker een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

                                                                                                                                                    U zoekt naar een invoer die er als volgt uitziet:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Als u wilt controleren of een gebruiker een nieuw KMS Resource Object (KRO) aanvraagt wanneer een omgeving of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    U zoekt naar een invoer die er als volgt uitziet:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Hybride databeveiliging controleren

                                                                                                                                                  Een statusindicator in Control Hub geeft aan of het allemaal in orde is met de implementatie van hybride databeveiliging. Als u proactief belt, meldt u zich aan voor e-mailmeldingen. U wordt geïnformeerd wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
                                                                                                                                                  1

                                                                                                                                                  Selecteer in Control HubServices in het menu aan de linkerkant van het scherm.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services naar Hybride databeveiliging en klik op Instellingen.

                                                                                                                                                  De pagina Instellingen hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3

                                                                                                                                                  Typ in het gedeelte E-mailmeldingen een of meer door komma's gescheiden e-mailadressen en druk op Enter.

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  Nadat u een proefperiode hebt geactiveerd en de eerste set proefgebruikers hebt toegevoegd, kunt u op elk gewenst moment proefleden toevoegen of verwijderen terwijl de proefperiode actief is.

                                                                                                                                                  Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker sleutels en het maken van sleutels aan uit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die op uw KMS is opgeslagen, haalt KMS deze namens de gebruiker op.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep HdsTrialGroup te beheren. U kunt de groepsleden weergeven in Control Hub, maar u kunt ze niet toevoegen of verwijderen.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Proefmodus van het gedeelte Servicestatus op Gebruikers toevoegen of klik op Weergeven en bewerken om gebruikers uit de proefperiode te verwijderen.

                                                                                                                                                  4

                                                                                                                                                  Voer het e-mailadres van een of meer gebruikers in die u wilt toevoegen, of klik op de X bij een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan.

                                                                                                                                                  Verplaatsen van proefperiode naar productie

                                                                                                                                                  Als u tevreden bent dat uw implementatie goed werkt voor de proefgebruikers, kunt u overgaan naar productie. Wanneer u naar productie gaat, gebruiken alle gebruikers in de organisatie uw hybride databeveiligingsdomein op locatie voor coderingssleutels en andere services van de beveiligingsrealm. U kunt niet terug naar de proefmodus van de productie, tenzij u de service deactiveert als onderdeel van noodherstel. Als u de service opnieuw activeert, moet u een nieuwe proefperiode instellen.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Verplaatsen naar productie.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u al uw gebruikers wilt verplaatsen naar productie.

                                                                                                                                                  Uw proefperiode beëindigen zonder over te stappen op productie

                                                                                                                                                  Als u tijdens uw proefperiode besluit om niet door te gaan met uw implementatie van hybride databeveiliging, kunt u hybride databeveiliging deactiveren, waardoor de proefperiode wordt beëindigd en de proefgebruikers weer worden overgebracht naar de cloudgegevensbeveiligingsservices. De gebruikers van de proefperiode verliezen de toegang tot de gegevens die tijdens de proefperiode zijn gecodeerd.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Deactiveren op Deactiveren.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u de service wilt deactiveren en beëindig de proefperiode.

                                                                                                                                                  Uw HDS-implementatie beheren

                                                                                                                                                  HDS-implementatie beheren

                                                                                                                                                  Gebruik de taken die hier worden beschreven om uw implementatie van hybride databeveiliging te beheren.

                                                                                                                                                  Planning van clusterupgrade instellen

                                                                                                                                                  Software-upgrades voor hybride databeveiliging worden automatisch op clusterniveau uitgevoerd, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens de upgradeplanning voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie het cluster handmatig vóór het geplande tijdstip van de upgrade te upgraden. U kunt een specifiek upgradeschema instellen of het standaardschema gebruiken van 3:00 uur Dagelijks in de Verenigde Staten: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

                                                                                                                                                  De upgradeplanning instellen:

                                                                                                                                                  1

                                                                                                                                                  Meld u aan Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Selecteer Hybride databeveiliging onder Hybride services op de pagina Overzicht.

                                                                                                                                                  3

                                                                                                                                                  Selecteer het cluster op de pagina Resources hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Selecteer de clusternaam in het deelvenster Overzicht aan de rechterkant, onder Clusterinstellingen.

                                                                                                                                                  5

                                                                                                                                                  Selecteer op de pagina Instellingen bij Upgrade de tijd en tijdzone voor de upgradeplanning.

                                                                                                                                                  Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen tot de volgende dag door op Uitstellen te klikken.

                                                                                                                                                  De knooppuntconfiguratie wijzigen

                                                                                                                                                  Soms moet u de configuratie van uw knooppunt voor hybride databeveiliging wijzigen vanwege een bijvoorbeeld:
                                                                                                                                                  • X.509-certificaten wijzigen vanwege vervaldatum of andere redenen.

                                                                                                                                                    We ondersteunen het wijzigen van de CN-domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om de cluster te registreren.

                                                                                                                                                  • Database-instellingen bijwerken om te wijzigen in een kopie van de PostgreSQL- of Microsoft SQL Server-database.

                                                                                                                                                    We ondersteunen het migreren van gegevens van PostgreSQL naar Microsoft SQL Server niet, of op de omgekeerde manier. Als u wilt schakelen tussen de databaseomgevingen, moet u een nieuwe implementatie van hybride databeveiliging starten.

                                                                                                                                                  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

                                                                                                                                                  Bovendien gebruikt Hybride databeveiliging voor beveiligingsdoeleinden wachtwoorden voor serviceaccounts die een levensduur van negen maanden hebben. Nadat de HDS-setuptool deze wachtwoorden heeft gegenereerd, implementeert u deze in uw HDS-knooppunten in het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een melding van het Webex-team om het wachtwoord voor uw machineaccount opnieuw in te stellen. (Het e-mailbericht bevat de tekst: 'Gebruik het machineaccount API om het wachtwoord bij te werken.') Als uw wachtwoord nog niet is verlopen, geeft de tool u twee opties:

                                                                                                                                                  • Zachte reset: de oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO-bestand op de knooppunten stapsgewijs te vervangen.

                                                                                                                                                  • Harde reset: de oude wachtwoorden werken niet direct meer.

                                                                                                                                                  Als uw wachtwoorden verlopen zonder opnieuw in te stellen, is dit van invloed op uw HDS-service, waarvoor onmiddellijke harde reset en vervanging van het ISO-bestand op alle knooppunten nodig is.

                                                                                                                                                  Gebruik deze procedure om een nieuw ISO-configuratiebestand te genereren en dit toe te passen op uw cluster.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Control Hub-account met volledige beheerdersrechten voor uw organisatie vereist.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container in 1.e opent. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

                                                                                                                                                  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel voor de versleuteling van PostgreSQL of Microsoft SQL Server-database. U hebt de ISO nodig wanneer u configuratiewijzigingen aan aanbrengen, waaronder databasereferenties, certificaatupdates of wijzigingen aan autorisatiebeleid.

                                                                                                                                                  1

                                                                                                                                                  Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

                                                                                                                                                  1. Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stabiel

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stabiel

                                                                                                                                                    Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

                                                                                                                                                  2. Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download de nieuwste stabiele afbeelding voor uw omgeving:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stabiel

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stabiel

                                                                                                                                                    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 hebben niet de schermen voor het opnieuw instellen van wachtwoorden.

                                                                                                                                                  5. Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                    • In normale omgevingen zonder proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

                                                                                                                                                  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.

                                                                                                                                                    De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

                                                                                                                                                  7. Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de Control Hub-klant in en klikt u vervolgens op Accepteren om door te gaan.

                                                                                                                                                  8. Importeer het huidige ISO-configuratiebestand.

                                                                                                                                                  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

                                                                                                                                                    Als u de setuptool wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

                                                                                                                                                  2

                                                                                                                                                  Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor hybride databeveiliging en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

                                                                                                                                                  1. Installeer de HDS-host-OVA.

                                                                                                                                                  2. Stel de HDS-VM in.

                                                                                                                                                  3. Koppel het bijgewerkte configuratiebestand.

                                                                                                                                                  4. Registreer het nieuwe knooppunt in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Voor bestaande HDS-knooppunten waar het oudere configuratiebestand op wordt uitgevoerd, moet u het ISO-bestand onder brengen. Voer de volgende procedure uit op elk knooppunt. Werk elk knooppunt bij voordat u het volgende knooppunt uit schakelen:

                                                                                                                                                  1. Schakel de virtuele machine uit.

                                                                                                                                                  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  3. Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

                                                                                                                                                  4. Schakel het selectievakje Verbinding maken na inschakelen in.

                                                                                                                                                  5. Sla uw wijzigingen op en schakel de virtuele machine in.

                                                                                                                                                  4

                                                                                                                                                  Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

                                                                                                                                                  Geblokkeerde externe DNS-omzettingsmodus uitschakelen

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. Als de DNS-server van het knooppunt geen publieke DNS-namen kan omzetten, wordt het knooppunt automatisch in de geblokkeerde externe DNS-omzettingsmodus geplaatst.

                                                                                                                                                  Als uw knooppunten publieke DNS-namen kunnen omzetten via interne DNS-servers, kunt u deze modus uitschakelen door de proxy verbindingstest opnieuw uit te voeren op elk knooppunt.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Zorg ervoor dat uw interne DNS-servers publieke DNS-namen kunnen omzetten en dat uw knooppunten met hen kunnen communiceren.
                                                                                                                                                  1

                                                                                                                                                  Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/setup, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt instelt en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar overzicht (de standaardpagina).

                                                                                                                                                  Indien ingeschakeld, wordt de geblokkeerde externe DNS-omzetting ingesteld op Ja.

                                                                                                                                                  3

                                                                                                                                                  Ga naar de pagina vertrouwde winkel >-proxy .

                                                                                                                                                  4

                                                                                                                                                  Klik op proxy verbinding controleren.

                                                                                                                                                  Als er een bericht wordt weergegeven met de melding dat de externe DNS-omzetting niet is geslaagd, is het knooppunt niet in staat om de DNS-server te bereiken en blijft deze in deze modus. Anders moet de geblokkeerde externe DNS-omzetting worden ingesteld op Nee als u het knooppunt opnieuw hebt opgestart en teruggaat naar de overzichtspagina.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Herhaal de proxy verbindingstest op elk knooppunt in uw cluster voor hybride data beveiliging.

                                                                                                                                                  Een knooppunt verwijderen

                                                                                                                                                  Gebruik deze procedure om een knooppunt voor hybride databeveiliging te verwijderen uit de Webex-cloud. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en schakel de virtuele machine uit.

                                                                                                                                                  2

                                                                                                                                                  Verwijder het knooppunt:

                                                                                                                                                  1. Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources hybride databeveiliging weer te geven.

                                                                                                                                                  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

                                                                                                                                                  4. Klik op Knooppuntenlijst openen.

                                                                                                                                                  5. Selecteer op het tabblad Knooppunten het knooppunt dat u wilt verwijderen.

                                                                                                                                                  6. Klik op Acties > Knooppunt uitschrijven.

                                                                                                                                                  3

                                                                                                                                                  Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

                                                                                                                                                  Als u de VM niet verwijdert, vergeet dan niet om het ISO-configuratiebestand te ontkoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken voor toegang tot uw beveiligingsgegevens.

                                                                                                                                                  Noodherstel met behulp van stand-bydatacenter

                                                                                                                                                  De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt om berichten en andere inhoud die is opgeslagen in de Webex-cloud te coderen. Voor elke gebruiker in de organisatie die is toegewezen aan hybride databeveiliging, worden aanvragen voor het maken van nieuwe sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de gemaakte sleutels aan alle gebruikers die bevoegd zijn om deze op te halen, bijvoorbeeld leden van een gespreksruimte.

                                                                                                                                                  Omdat het cluster de kritieke functie uitvoert voor het leveren van deze sleutels, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden onderhouden. Verlies van de database voor hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van klantinhoud. Om dergelijk verlies te voorkomen, zijn de volgende praktijken verplicht:

                                                                                                                                                  Als de HDS-implementatie in het primaire datacenter niet beschikbaar wordt door een ramp, volgt u deze procedure om handmatig failover naar het stand-bydatacenter te maken.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-setuptool en volg de stappen die worden vermeld in Een configuratie-ISO voor de HDS-hosts maken.

                                                                                                                                                  2

                                                                                                                                                  Nadat u de Syslogd-server hebt geconfigureerd, klikt u op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe of verwijder de configuratie passiveMode om het knooppunt actief te maken. Het knooppunt kan verkeer verwerken zodra dit is geconfigureerd.

                                                                                                                                                   passieveModus: 'onwaar' 

                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  7

                                                                                                                                                  Klik op Instellingen bewerken >CD/DVD-station 1 en selecteer ISO-gegevensopslagbestand.

                                                                                                                                                  Zorg ervoor dat Verbonden en Verbinding maken bij inschakelen zijn ingeschakeld, zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.

                                                                                                                                                  Controleer de syslog-uitvoer om te verifiëren of de knooppunten van het standby-datacenter zich niet in de passieve modus bevinden. 'KMS geconfigureerd in passieve modus' mag niet in de syslogs worden weergegeven.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als het primaire datacenter na failover weer actief wordt, plaatst u het stand-bydatacenter opnieuw in de passieve modus door de stappen te volgen die zijn beschreven in Stand-bydatacenter instellen voor noodherstel.

                                                                                                                                                  (Optioneel) ISO ontkoppelen na HDS-configuratie

                                                                                                                                                  De standaard HDS-configuratie wordt uitgevoerd met de aangekoppelde ISO. Sommige klanten geven er echter de voorkeur aan dat ISO-bestanden niet continu worden gekoppeld. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

                                                                                                                                                  U gebruikt nog steeds de ISO-bestanden om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de setuptool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra alle knooppunten de configuratiewijzigingen hebben opgehaald, kunt u de ISO opnieuw loskoppelen met deze procedure.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

                                                                                                                                                  1

                                                                                                                                                  Sluit een van uw HDS-knooppunten af.

                                                                                                                                                  2

                                                                                                                                                  Selecteer het HDS-knooppunt in het vCenter Server Appliance.

                                                                                                                                                  3

                                                                                                                                                  Kies Instellingen bewerken > CD/DVD-station en schakel ISO-gegevensopslagbestand uit.

                                                                                                                                                  4

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 20 minuten geen alarmen zijn.

                                                                                                                                                  5

                                                                                                                                                  Herhaal om de beurt voor elk HDS-knooppunt.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Waarschuwingen weergeven en problemen oplossen

                                                                                                                                                  Een implementatie van Hybride databeveiliging wordt als niet beschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als de cluster zo langzaam werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

                                                                                                                                                  • Er kunnen geen nieuwe ruimten worden gemaakt (kan geen nieuwe sleutels maken)

                                                                                                                                                  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

                                                                                                                                                    • Nieuwe gebruikers die aan een ruimte zijn toegevoegd (kunnen geen sleutels ophalen)

                                                                                                                                                    • Bestaande gebruikers in een ruimte met een nieuwe client (kunnen geen sleutels ophalen)

                                                                                                                                                  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

                                                                                                                                                  Het is belangrijk dat u uw cluster voor hybride databeveiliging goed controleert en alle waarschuwingen onmiddellijk adresseert om onderbreking van de service te voorkomen.

                                                                                                                                                  Waarschuwingen

                                                                                                                                                  Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen weer aan de organisatiebeheerder en verzendt u e-mails naar het geconfigureerde e-mailadres. De waarschuwingen behandelen veel algemene scenario's.

                                                                                                                                                  Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

                                                                                                                                                  Waarschuwing

                                                                                                                                                  Actie

                                                                                                                                                  Lokale databasetoegang mislukt.

                                                                                                                                                  Controleer op databasefouten of problemen met het lokale netwerk.

                                                                                                                                                  Verbinding met lokale database mislukt.

                                                                                                                                                  Controleer of de databaseserver beschikbaar is en of de juiste referenties van het serviceaccount zijn gebruikt in de knooppuntconfiguratie.

                                                                                                                                                  Toegang tot cloudservice mislukt.

                                                                                                                                                  Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Vereisten voor externe connectiviteit.

                                                                                                                                                  De registratie van cloudservice wordt verlengd.

                                                                                                                                                  Registratie bij cloudservices is verbroken. De registratie wordt verlengd.

                                                                                                                                                  Registratie van cloudservice verbroken.

                                                                                                                                                  Registratie bij cloudservices is beëindigd. Service wordt afgesloten.

                                                                                                                                                  Service nog niet geactiveerd.

                                                                                                                                                  Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie.

                                                                                                                                                  Het geconfigureerde domein komt niet overeen met het servercertificaat.

                                                                                                                                                  Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

                                                                                                                                                  De meest waarschijnlijke oorzaak is dat de algemene naam van het certificaat onlangs is gewijzigd en nu anders is dan de algemene naam die tijdens de eerste installatie is gebruikt.

                                                                                                                                                  Kan niet verifiëren bij cloudservices.

                                                                                                                                                  Controleer op de nauwkeurigheid en mogelijke vervaldatum van de referenties van het serviceaccount.

                                                                                                                                                  Openen van lokaal keystore-bestand is mislukt.

                                                                                                                                                  Controleer op integriteit en wachtwoordnauwkeurigheid in het lokale keystore-bestand.

                                                                                                                                                  Het lokale servercertificaat is ongeldig.

                                                                                                                                                  Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

                                                                                                                                                  Kan statistieken niet plaatsen.

                                                                                                                                                  Controleer de toegang van het lokale netwerk tot externe cloudservices.

                                                                                                                                                  De map /media/configdrive/hds bestaat niet.

                                                                                                                                                  Controleer de ISO-koppelconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om te koppelen bij opnieuw opstarten en of het met succes wordt gekoppeld.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met Hybride databeveiliging.
                                                                                                                                                  1

                                                                                                                                                  Controleer Control Hub voor waarschuwingen en los alle items op die u daar vindt.

                                                                                                                                                  2

                                                                                                                                                  Controleer de uitvoer van de Syslog-server voor activiteit van de implementatie van hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Neem contact op met Cisco-ondersteuning.

                                                                                                                                                  Andere opmerkingen

                                                                                                                                                  Bekende problemen voor hybride databeveiliging

                                                                                                                                                  • Als u uw cluster voor hybride databeveiliging uitschakelt (door deze te verwijderen in Control Hub of door alle knooppunten uit te sluiten), uw ISO-configuratiebestand verliest of de toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst Personen die zijn gemaakt met sleutels van uw KMS. Dit geldt voor zowel proef- als productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en we verzoeken u dringend uw HDS-services niet te beëindigen zodra deze actieve gebruikersaccounts afhandelen.

                                                                                                                                                  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een bepaalde tijd (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefversie voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken totdat deze een time-out heeft. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact maakt voor coderingssleutels.

                                                                                                                                                    Hetzelfde gedrag doet zich voor wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle gebruikers zonder proefperiode met bestaande ECDH-verbindingen met de vorige services voor gegevensbeveiliging blijven deze services gebruiken totdat er opnieuw over de ECDH-verbinding is onderhandeld (via time-out of door u af te melden en weer aan te melden).

                                                                                                                                                  OpenSSL gebruiken om een PKCS12-bestand te genereren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS-setuptool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten de ene weg niet boven de andere.

                                                                                                                                                  • Als u ervoor kiest OpenSSL te gebruiken, bieden we deze procedure als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

                                                                                                                                                  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

                                                                                                                                                  • Maak een privésleutel.

                                                                                                                                                  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificerende instantie (CA).

                                                                                                                                                  1

                                                                                                                                                  Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Geef het certificaat weer als tekst en verifieer de details.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Gebruik een tekstverwerker om een certificaatbundelbestand met de naam hdsnode-bundle.pem te maken. Het bundelbestand moet het servercertificaat, eventuele tussenliggende CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

                                                                                                                                                  ----BEGIN CERTIFICATE------ ### Servercertificaat. ### -----END CERTIFICATE----------BEGIN CERTIFICATE----- ### Tussenliggend CA-certificaat. ### ----END CERTIFICATE----------BEGIN CERTIFICATE----- ### Basis CA-certificaat. ### -----END CERTIFICATE-----

                                                                                                                                                  4

                                                                                                                                                  Maak het .p12-bestand met de beschrijvende naam kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -naam kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controleer de details van het servercertificaat.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Voer bij de prompt een wachtwoord in om de privésleutel te coderen zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de regels bevatten friendlyName: kms-privésleutel.

                                                                                                                                                    Voorbeeld:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Voer importwachtwoord in: Mac heeft OK Bag Attributes geverifieerd friendlyName: kms-privésleutel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Sleutelkenmerken:  Voer de PEM-wachtwoordzin in: Verifiëren - Voer de PEM-wachtwoordzin in: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-privésleutel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Keer terug naar Aan de vereisten voor hybride databeveiliging voldoen. U gebruikt het bestand hdsnode.p12 en het wachtwoord dat u ervoor hebt ingesteld in Een configuratie-ISO voor de HDS-hosts maken.

                                                                                                                                                  U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

                                                                                                                                                  Verkeer tussen de HDS-knooppunten en de cloud

                                                                                                                                                  Verzamelverkeer uitgaande statistieken

                                                                                                                                                  De knooppunten voor hybride databeveiliging verzenden bepaalde statistieken naar de Webex-cloud. Hieronder vallen systeemstatistieken voor max. heap, gebruikte heap, CPU-belasting en threadtelling; statistieken op synchrone en asynchrone threads; statistieken over waarschuwingen met een drempel voor coderingsverbindingen, latentie of een aanvraagwachtrijlengte; statistieken in de gegevensopslag; en statistieken voor coderingsverbinding. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (afzonderlijk van het verzoek) kanaal.

                                                                                                                                                  Inkomend verkeer

                                                                                                                                                  De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer van de Webex-cloud:

                                                                                                                                                  • Coderingsverzoeken van clients, die door de coderingsservice worden gerouteerd

                                                                                                                                                  • Upgrades van de knooppuntsoftware

                                                                                                                                                  Het configureren van inktvis-Proxy's voor hybride data beveiliging

                                                                                                                                                  WebSocket kan geen verbinding maken via de inktvis-proxy

                                                                                                                                                  Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:) verstoren die vereist zijn voor hybride databeveiliging. Deze secties bevatten leidraden voor het configureren van verschillende versies van inktvis om WSS te negeren: verkeer voor de juiste werking van de services.

                                                                                                                                                  Pijlinktvis 4 en 5

                                                                                                                                                  Voeg de on_unsupported_protocol richtlijn toe aan squid.conf:

                                                                                                                                                  on_unsupported_protocol alles tunnel

                                                                                                                                                  Inktvis 3.5.27

                                                                                                                                                  De hybride gegevensbeveiliging is getest met de volgende regels die zijn toegevoegd aan inktvis. conf. Deze regels kunnen worden gewijzigd wanneer we functies ontwikkelen en de Webex Cloud bijwerken.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl stap1 at_step SslBump1 acl stap2 at_step SslBump2 acl stap3 at_step SslBump3 ssl_bump bekijk stap1 alle ssl_bump staren stap2 alle ssl_bump bump stap3 alle
                                                                                                                                                  Vond u dit artikel nuttig?
                                                                                                                                                  Vond u dit artikel nuttig?