U merkt mogelijk dat sommige artikelen inhoud inconsistent weergeven. Onze excuses voor het ongemak terwijl we onze site bijwerken.
cross icon
In dit artikel
dropdown icon
Voorwoord
    Nieuwe en gewijzigde informatie
    dropdown icon
    Aan de slag met hybride databeveiliging
      Overzicht van hybride databeveiliging
        dropdown icon
        Architectuur beveiligingsgebied
          Scheidingsgebieden (zonder hybride databeveiliging)
        Samenwerken met andere organisaties
          Verwachtingen voor het implementeren van hybride databeveiliging
            Installatieproces op hoog niveau
              dropdown icon
              Implementatiemodel voor hybride databeveiliging
                Implementatiemodel voor hybride databeveiliging
              Proefmodus voor hybride databeveiliging
                dropdown icon
                Standby-datacenter voor noodherstel
                  Standby-datacenter instellen voor noodherstel
                Proxy-ondersteuning
                dropdown icon
                Uw omgeving voorbereiden
                  dropdown icon
                  Vereisten voor hybride databeveiliging
                    Vereisten voor Cisco Webex-licenties
                    Vereisten voor Docker Desktop
                    Vereisten voor X.509-certificaten
                    Vereisten voor virtuele host
                    Vereisten voor databaseserver
                    Externe connectiviteitsvereisten
                    Vereisten voor de proxy server
                  Voldoen aan de vereisten voor hybride databeveiliging
                  dropdown icon
                  Een cluster voor hybride databeveiliging instellen
                    Implementatietaakstroom hybride databeveiliging
                      Installatiebestanden downloaden
                        Een configuratie-ISO maken voor de HDS-hosts
                          De HDS-host-OVA installeren
                            De VM voor hybride databeveiliging instellen
                              De HDS-configuratie-ISO uploaden en koppelen
                                Configureer het HDS-knooppunt voor proxy-integratie
                                  Het eerste knooppunt in het cluster registreren
                                    Meer knooppunten maken en registreren
                                    dropdown icon
                                    Een proefperiode uitvoeren en overgaan naar productie
                                      Doorstroom proefperiode naar productietaak
                                        Proefperiode activeren
                                          Uw implementatie voor hybride databeveiliging testen
                                            Gezondheid van hybride databeveiliging controleren
                                              Gebruikers toevoegen aan of verwijderen uit uw proefperiode
                                                Overstappen van proefperiode naar productie
                                                  Uw proefperiode beëindigen zonder over te stappen naar productie
                                                  dropdown icon
                                                  Uw HDS-implementatie beheren
                                                    HDS-implementatie beheren
                                                      Upgradeschema voor cluster instellen
                                                        De knooppuntconfiguratie wijzigen
                                                          Geblokkeerde externe DNS-omzettingsmodus uitschakelen
                                                            Een knooppunt verwijderen
                                                              Noodherstel met behulp van het stand-bydatacenter
                                                                (Optioneel) ISO loskoppelen na HDS-configuratie
                                                                dropdown icon
                                                                Problemen met hybride databeveiliging oplossen
                                                                  Waarschuwingen en problemen weergeven
                                                                    dropdown icon
                                                                    Waarschuwingen
                                                                      Veelvoorkomende problemen en de stappen om deze op te lossen
                                                                    Problemen met hybride databeveiliging oplossen
                                                                    dropdown icon
                                                                    Andere opmerkingen
                                                                      Bekende problemen voor hybride databeveiliging
                                                                        OpenSSL gebruiken om een PKCS12-bestand te genereren
                                                                          Verkeer tussen de HDS-knooppunten en de cloud
                                                                            dropdown icon
                                                                            Het configureren van inktvis-Proxy's voor hybride data beveiliging
                                                                              WebSocket kan geen verbinding maken via de inktvis-proxy
                                                                          In dit artikel
                                                                          cross icon
                                                                          dropdown icon
                                                                          Voorwoord
                                                                            Nieuwe en gewijzigde informatie
                                                                            dropdown icon
                                                                            Aan de slag met hybride databeveiliging
                                                                              Overzicht van hybride databeveiliging
                                                                                dropdown icon
                                                                                Architectuur beveiligingsgebied
                                                                                  Scheidingsgebieden (zonder hybride databeveiliging)
                                                                                Samenwerken met andere organisaties
                                                                                  Verwachtingen voor het implementeren van hybride databeveiliging
                                                                                    Installatieproces op hoog niveau
                                                                                      dropdown icon
                                                                                      Implementatiemodel voor hybride databeveiliging
                                                                                        Implementatiemodel voor hybride databeveiliging
                                                                                      Proefmodus voor hybride databeveiliging
                                                                                        dropdown icon
                                                                                        Standby-datacenter voor noodherstel
                                                                                          Standby-datacenter instellen voor noodherstel
                                                                                        Proxy-ondersteuning
                                                                                        dropdown icon
                                                                                        Uw omgeving voorbereiden
                                                                                          dropdown icon
                                                                                          Vereisten voor hybride databeveiliging
                                                                                            Vereisten voor Cisco Webex-licenties
                                                                                            Vereisten voor Docker Desktop
                                                                                            Vereisten voor X.509-certificaten
                                                                                            Vereisten voor virtuele host
                                                                                            Vereisten voor databaseserver
                                                                                            Externe connectiviteitsvereisten
                                                                                            Vereisten voor de proxy server
                                                                                          Voldoen aan de vereisten voor hybride databeveiliging
                                                                                          dropdown icon
                                                                                          Een cluster voor hybride databeveiliging instellen
                                                                                            Implementatietaakstroom hybride databeveiliging
                                                                                              Installatiebestanden downloaden
                                                                                                Een configuratie-ISO maken voor de HDS-hosts
                                                                                                  De HDS-host-OVA installeren
                                                                                                    De VM voor hybride databeveiliging instellen
                                                                                                      De HDS-configuratie-ISO uploaden en koppelen
                                                                                                        Configureer het HDS-knooppunt voor proxy-integratie
                                                                                                          Het eerste knooppunt in het cluster registreren
                                                                                                            Meer knooppunten maken en registreren
                                                                                                            dropdown icon
                                                                                                            Een proefperiode uitvoeren en overgaan naar productie
                                                                                                              Doorstroom proefperiode naar productietaak
                                                                                                                Proefperiode activeren
                                                                                                                  Uw implementatie voor hybride databeveiliging testen
                                                                                                                    Gezondheid van hybride databeveiliging controleren
                                                                                                                      Gebruikers toevoegen aan of verwijderen uit uw proefperiode
                                                                                                                        Overstappen van proefperiode naar productie
                                                                                                                          Uw proefperiode beëindigen zonder over te stappen naar productie
                                                                                                                          dropdown icon
                                                                                                                          Uw HDS-implementatie beheren
                                                                                                                            HDS-implementatie beheren
                                                                                                                              Upgradeschema voor cluster instellen
                                                                                                                                De knooppuntconfiguratie wijzigen
                                                                                                                                  Geblokkeerde externe DNS-omzettingsmodus uitschakelen
                                                                                                                                    Een knooppunt verwijderen
                                                                                                                                      Noodherstel met behulp van het stand-bydatacenter
                                                                                                                                        (Optioneel) ISO loskoppelen na HDS-configuratie
                                                                                                                                        dropdown icon
                                                                                                                                        Problemen met hybride databeveiliging oplossen
                                                                                                                                          Waarschuwingen en problemen weergeven
                                                                                                                                            dropdown icon
                                                                                                                                            Waarschuwingen
                                                                                                                                              Veelvoorkomende problemen en de stappen om deze op te lossen
                                                                                                                                            Problemen met hybride databeveiliging oplossen
                                                                                                                                            dropdown icon
                                                                                                                                            Andere opmerkingen
                                                                                                                                              Bekende problemen voor hybride databeveiliging
                                                                                                                                                OpenSSL gebruiken om een PKCS12-bestand te genereren
                                                                                                                                                  Verkeer tussen de HDS-knooppunten en de cloud
                                                                                                                                                    dropdown icon
                                                                                                                                                    Het configureren van inktvis-Proxy's voor hybride data beveiliging
                                                                                                                                                      WebSocket kan geen verbinding maken via de inktvis-proxy
                                                                                                                                                  Implementatiehandleiding voor Webex hybride databeveiliging
                                                                                                                                                  list-menuIn dit artikel
                                                                                                                                                  Voorwoord

                                                                                                                                                  Nieuwe en gewijzigde informatie

                                                                                                                                                  Datum

                                                                                                                                                  Aangebrachte wijzigingen

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augustus 2023

                                                                                                                                                  23 mei 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker Desktop.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  U kunt het bestand met de privésleutel en de CSR opnieuw gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie.

                                                                                                                                                  30 april 2021

                                                                                                                                                  De VM-vereiste voor lokale harde schijfruimte is gewijzigd in 30 GB. Zie Vereisten voor virtuele host voor meer informatie.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  De HDS-installatietool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO maken voor de HDS-hosts voor meer informatie.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu worden uitgevoerd zonder een gemonteerd ISO-bestand. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Informatie toegevoegd over het hulpprogramma HDS-instellingen en proxy's om een configuratie-ISO voor de HDS-hosts te maken.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Bijgewerkte Installatiebestanden downloaden.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt.

                                                                                                                                                  14 augustus 2020

                                                                                                                                                  De configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces.

                                                                                                                                                  5 augustus 2020

                                                                                                                                                  Bijgewerkte Test uw implementatie voor hybride databeveiliging voor wijzigingen in logboekberichten.

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om het maximale aantal hosts te verwijderen.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Bijgewerkt Een knooppunt verwijderen voor wijzigingen in de gebruikersinterface van Control Hub.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  De ISO voor configuratie maken voor de HDS-hosts is bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk hebt ingesteld.

                                                                                                                                                  29 mei 2020

                                                                                                                                                  Bijgewerkt: maak een configuratie-ISO voor de HDS-hosts om aan te geven dat u ook TLS kunt gebruiken met SQL Server-databases, gebruikersgebruikerswijzigingen en andere verduidelijkingen.

                                                                                                                                                  5 mei 2020

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om de nieuwe vereisten voor ESXi 6.5 weer te geven.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met nieuwe Americas CI-hosts.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met informatie over regionale CI-hosts.

                                                                                                                                                  20 februari 2020Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met informatie over het nieuwe optionele scherm Geavanceerde instellingen in de HDS-installatietool.
                                                                                                                                                  4 februari 2020Proxyserververeisten bijgewerkt.
                                                                                                                                                  16 december 2019De vereiste voor geblokkeerde externe DNS-resolutiemodus is verduidelijkt om te werken in de vereisten voor de proxyserver.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende gedeelten:

                                                                                                                                                  8 november 2019

                                                                                                                                                  U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van erna.

                                                                                                                                                  De volgende gedeelten zijn dienovereenkomstig bijgewerkt:


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Standaard SQL-server toegevoegd aan vereisten voor databaseserver.

                                                                                                                                                  29 augustus 2019Bijlage Squid-proxy's configureren voor hybride databeveiliging toegevoegd met richtlijnen voor het configureren van squid-proxy's om websocketverkeer te negeren voor een goede werking.
                                                                                                                                                  20 augustus 2019

                                                                                                                                                  Er zijn gedeelten toegevoegd en bijgewerkt voor proxyondersteuning voor communicatie van knooppunten voor hybride databeveiliging naar de Webex-cloud.

                                                                                                                                                  Zie het Help-artikel Proxy-ondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie.

                                                                                                                                                  13 juni 2019Bijgewerkte Trial to Production Task Flow met een herinnering om de HdsTrialGroup groepsobject voordat een proefperiode wordt gestart als uw organisatie adreslijstsynchronisatie gebruikt.
                                                                                                                                                  6 maart 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • De hoeveelheid lokale harde schijfruimte per server die u opzij moet zetten bij het voorbereiden van de virtuele hosts die de knooppunten voor hybride databeveiliging worden, van 50 GB tot 20 GB, is gecorrigeerd om de grootte van de schijf weer te geven die door de OVA wordt gemaakt.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Knooppunten voor hybride databeveiliging ondersteunen nu gecodeerde verbindingen met PostgreSQL-databaseservers en gecodeerde logboekverbindingen met een TLS-compatibele syslog-server. Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met instructies.

                                                                                                                                                  • De bestemmings-URL's zijn verwijderd uit de tabel 'Vereisten voor internetconnectiviteit voor hybride gegevensbeveiligingsknooppunt VM's'. De tabel verwijst nu naar de lijst die wordt bijgehouden in de tabel 'Aanvullende URL's voor hybride services van Webex Teams' van Netwerkvereisten voor Webex Teams-services.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybride databeveiliging ondersteunt nu Microsoft SQL Server als database. SQL Server Always On (Always On Failover Clusters en Always on Availability Groups) wordt ondersteund door de JDBC-stuurprogramma's die worden gebruikt in hybride databeveiliging. Er is inhoud toegevoegd met betrekking tot implementatie met SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ondersteuning voor Microsoft SQL Server is alleen bedoeld voor nieuwe implementaties van Hybride databeveiliging. We ondersteunen momenteel geen migratie van gegevens van PostgreSQL naar Microsoft SQL Server in een bestaande implementatie.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 mei 2018

                                                                                                                                                  Gewijzigde terminologie om de rebranding van Cisco Spark weer te geven:

                                                                                                                                                  • Cisco Spark hybride databeveiliging is nu hybride databeveiliging.

                                                                                                                                                  • De Cisco Spark-app is nu de Webex-app.

                                                                                                                                                  • De Cisco Collaboraton Cloud is nu de Webex-cloud.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • In de tabel X.509-certificaatvereisten is gespecificeerd dat het certificaat geen jokercertificaat kan zijn en dat de KMS het CN-domein gebruikt, niet een domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Adreslijstsynchronisatie van de HdsTrialGroup is verduidelijkt.

                                                                                                                                                  • Vaste instructies voor het uploaden van het ISO-configuratiebestand voor montage op de VM-knooppunten.

                                                                                                                                                  18 augustus 2017

                                                                                                                                                  Voor het eerst gepubliceerd

                                                                                                                                                  Aan de slag met hybride databeveiliging

                                                                                                                                                  Overzicht van hybride databeveiliging

                                                                                                                                                  Vanaf dag één is gegevensbeveiliging de belangrijkste focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end inhoudsversleuteling, mogelijk gemaakt door Webex -app-clients die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografische sleutels die clients gebruiken om berichten en bestanden dynamisch te versleutelen en ontsleutelen.

                                                                                                                                                  Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride gegevensbeveiliging verplaatst het KMS en andere beveiligingsgerelateerde functies naar het bedrijfsgegevens , zodat niemand anders dan u de sleutels heeft tot uw versleutelde inhoud.

                                                                                                                                                  Architectuur beveiligingsgebied

                                                                                                                                                  De Webex-cloudarchitectuur scheidt verschillende soorten service in afzonderlijke realms of vertrouwensdomeinen, zoals hieronder wordt weergegeven.

                                                                                                                                                  Scheidingsgebieden (zonder hybride databeveiliging)

                                                                                                                                                  Laten we eerst eens kijken naar deze zuivere cloudcase, waarin Cisco alle functies in zijn clouddomeinen aanbiedt om meer inzicht te krijgen in hybride databeveiliging. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks kunnen worden gecorreleerd met hun persoonlijke informatie zoals e-mailadres, is logisch en fysiek gescheiden van de beveiligingsrealm in datacenter B. Beide zijn op hun beurt gescheiden van de realm waar versleutelde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

                                                                                                                                                  In dit diagram is de client de Webex-app die wordt uitgevoerd op de laptop van een gebruiker en is deze geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

                                                                                                                                                  1. De client maakt een veilige verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel om het bericht te versleutelen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

                                                                                                                                                  2. Het bericht wordt gecodeerd voordat het de client verlaat. De klant stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

                                                                                                                                                  3. Het gecodeerde bericht wordt verzonden naar de nalevingsservice voor nalevingscontroles.

                                                                                                                                                  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

                                                                                                                                                  Wanneer u hybride databeveiliging implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de realms van Cisco.

                                                                                                                                                  Samenwerken met andere organisaties

                                                                                                                                                  Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, routeert uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS te krijgen en stuurt de sleutel vervolgens terug naar uw gebruiker op het oorspronkelijke kanaal.

                                                                                                                                                  De KMS-service die wordt uitgevoerd in organisatie A valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw implementatie voor hybride databeveiliging.

                                                                                                                                                  Verwachtingen voor het implementeren van hybride databeveiliging

                                                                                                                                                  Een implementatie van hybride databeveiliging vereist een aanzienlijke klantbetrokkenheid en een bewustzijn van de risico's van het bezit van coderingssleutels.

                                                                                                                                                  Als u hybride databeveiliging wilt implementeren, moet u het volgende opgeven:

                                                                                                                                                  Volledig verlies van de configuratie-ISO die u maakt voor hybride databeveiliging of de database die u levert, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers inhoud van de ruimte en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar alleen nieuwe inhoud is zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

                                                                                                                                                  • De back-up en het herstel van de database en de configuratie-ISO beheren.

                                                                                                                                                  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing in de databaseschijf of een ramp met het datacenter.


                                                                                                                                                   

                                                                                                                                                  Er is geen mechanisme om sleutels na een HDS-implementatie terug naar de cloud te verplaatsen.

                                                                                                                                                  Installatieproces op hoog niveau

                                                                                                                                                  Dit document behandelt het instellen en beheren van een implementatie voor hybride databeveiliging:

                                                                                                                                                  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset gebruikers in de proefmodus en, zodra uw tests zijn voltooid, het verplaatsen naar productie. Hiermee wordt de hele organisatie geconverteerd om uw cluster voor hybride databeveiliging te gebruiken voor beveiligingsfuncties.

                                                                                                                                                    De installatie-, proef- en productiefasen worden in de volgende drie hoofdstukken in detail besproken.

                                                                                                                                                  • Uw implementatie voor hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch voortdurende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig ondersteuning van Cisco inschakelen. U kunt meldingen op het scherm gebruiken en op e-mail gebaseerde waarschuwingen instellen in Control Hub.

                                                                                                                                                  • Algemene waarschuwingen, stappen voor probleemoplossing en bekende problemen begrijpen: als u problemen ondervindt bij het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  In uw bedrijfsdatacenter implementeert u hybride databeveiliging als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

                                                                                                                                                  Tijdens het installatieproces bieden we u het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt monteert. Het cluster Hybride databeveiliging gebruikt de door u geleverde Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de details van de Syslogd- en databaseverbinding in de HDS-installatietool.)

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  Het minimumaantal knooppunten dat u in een cluster kunt hebben is twee. We raden ten minste drie aan en u kunt er maximaal vijf hebben. Als u meerdere knooppunten hebt, wordt de service niet onderbroken tijdens een software-upgrade of andere onderhoudsactiviteit op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

                                                                                                                                                  Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en logboekactiviteit op dezelfde syslog-server. De knooppunten zelf zijn stateloos, en behandelen belangrijke verzoeken in round-robin mode, zoals geregisseerd door de cloud.

                                                                                                                                                  Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt buiten gebruik wilt stellen, kunt u de registratie ongedaan maken en later opnieuw registreren, indien nodig.

                                                                                                                                                  We ondersteunen slechts één cluster per organisatie.

                                                                                                                                                  Proefmodus voor hybride databeveiliging

                                                                                                                                                  Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u dit eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.

                                                                                                                                                  Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de pilootgebruikers en alle gebruikers met wie ze tijdens de proefperiode interactie hebben gehad door nieuwe ruimten te maken, de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.

                                                                                                                                                  Als u ervan overtuigd bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilootgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, bijvoorbeeld om noodherstel uit te voeren, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilootgebruikers voor de nieuwe proefperiode instellen voordat u teruggaat naar de productiemodus. Of gebruikers op dit moment toegang tot gegevens behouden, hangt af van het feit of u back-ups van de sleutelgegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster hebt onderhouden.

                                                                                                                                                  Standby-datacenter voor noodherstel

                                                                                                                                                  Tijdens de implementatie stelt u een beveiligd stand-bydatacenter in. In het geval van een ramp met een datacenter kunt u uw implementatie handmatig overzetten naar het stand-bydatacenter.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Handmatige failover naar stand-bydatacenter

                                                                                                                                                  De databases van de actieve en stand-by datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is om de failover uit te voeren, tot een minimum wordt beperkt. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten zijn geregistreerd bij de organisatie, maar geen verkeer afhandelen. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van de HDS-software.


                                                                                                                                                   

                                                                                                                                                  De actieve knooppunten voor hybride databeveiliging moeten altijd in hetzelfde datacenter zijn als de actieve databaseserver.

                                                                                                                                                  Standby-datacenter instellen voor noodherstel

                                                                                                                                                  Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Het stand-bydatacenter moet de productieomgeving van VM's en een back-up PostgreSQL- of Microsoft SQL Server-database weerspiegelen. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. (Zie Standby Data Center for Disaster Recovery voor een overzicht van dit failovermodel.)

                                                                                                                                                  • Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database met actieve en passieve clusterknooppunten.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.


                                                                                                                                                   

                                                                                                                                                  Het ISO-bestand moet een kopie zijn van het originele ISO-bestand van het primaire datacenter waarop de volgende configuratieupdates moeten worden uitgevoerd.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar wordt er geen verkeer afgehandeld.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslogs om te controleren of de knooppunten zich in de passieve modus bevinden. U moet het bericht 'KMS geconfigureerd in passieve modus' in de syslogs kunnen bekijken.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Na het configureren passiveMode in het ISO-bestand en opslaan, kunt u een andere kopie van het ISO-bestand maken zonder de passiveMode configureren en opslaan op een veilige locatie. Deze kopie van het ISO-bestand zonder passiveMode geconfigureerd kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met behulp van het stand-bydatacenter voor de gedetailleerde failoverprocedure.

                                                                                                                                                  Proxyondersteuning

                                                                                                                                                  Hybride databeveiliging ondersteunt expliciete, transparante en niet-inspecterende proxy's. U kunt deze proxy's aan uw implementatie koppelen zodat u het verkeer van de onderneming naar de cloud kunt beveiligen en bewaken. U kunt een platformbeheerinterface op de knooppunten gebruiken voor certificaatbeheer en om de algehele verbindingsstatus te controleren nadat u de proxy op de knooppunten hebt ingesteld.

                                                                                                                                                  De knooppunten voor hybride databeveiliging ondersteunen de volgende proxyopties:

                                                                                                                                                  • Geen proxy: de standaardinstelling als u de HDS-knooppuntconfiguratie Vertrouwensarchief en proxy niet gebruikt om een proxy te integreren. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante niet-inspecterende proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante tunneling of inspectie van proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP- of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).

                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welk proxyserver- en verificatieschema u moet gebruiken. Als u een expliciete proxy wilt configureren, moet u de volgende informatie op elk knooppunt invoeren:

                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

                                                                                                                                                      • HTTP: geeft alle verzoeken weer die de client verzendt en beheert deze.

                                                                                                                                                      • HTTPS: biedt een kanaal naar de server. De client ontvangt het servercertificaat en valideert het.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar als u HTTPS selecteert als proxyprotocol.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                  Voorbeeld van knooppunten voor hybride databeveiliging en proxy

                                                                                                                                                  In dit diagram ziet u een voorbeeldverbinding tussen hybride databeveiliging, netwerk en een proxy. Voor de opties voor transparante inspectie en HTTPS expliciete inspectie proxy moet hetzelfde hoofdcertificaat worden geïnstalleerd op de proxy en op de knooppunten voor hybride databeveiliging.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus (expliciete proxyconfiguraties)

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. In implementaties met expliciete proxyconfiguraties die geen externe DNS-resolutie voor interne clients toestaan, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie als het knooppunt de DNS-servers niet kan opvragen. In deze modus kunnen knooppuntregistratie en andere proxyverbindingstests worden voortgezet.

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  Vereisten voor hybride databeveiliging

                                                                                                                                                  Vereisten voor Cisco Webex-licenties

                                                                                                                                                  Hybride databeveiliging implementeren:

                                                                                                                                                  Vereisten voor Docker Desktop

                                                                                                                                                  Voordat u uw HDS-knooppunten installeert, hebt u Docker Desktop nodig om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie heeft mogelijk een betaald abonnement voor Docker Desktop nodig. Voor meer informatie raadpleegt u het Docker-blogbericht ' Docker werkt onze productabonnementen bij en verlengt deze ".

                                                                                                                                                  Vereisten voor X.509-certificaten

                                                                                                                                                  De certificaatketen moet aan de volgende vereisten voldoen:

                                                                                                                                                  Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

                                                                                                                                                  Vereiste

                                                                                                                                                  Details

                                                                                                                                                  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

                                                                                                                                                  Standaard vertrouwen we de CA’s in de Mozilla lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Bevat een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

                                                                                                                                                  • Is geen jokercertificaat

                                                                                                                                                  De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die uw organisatie weergeeft, bijvoorbeeld: hds.company.com.

                                                                                                                                                  De algemene naam mag geen * (jokerteken) bevatten.

                                                                                                                                                  De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren bij clients van de Webex-app. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  Zodra u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat kan worden toegepast op zowel de proefperiode- als productie-implementaties.

                                                                                                                                                  • Niet-SHA1 handtekening

                                                                                                                                                  De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

                                                                                                                                                  • Geformatteerd als een met een wachtwoord beveiligd PKCS #12-bestand

                                                                                                                                                  • Gebruik de vriendelijke naam van kms-private-key om het certificaat, de privésleutel en eventuele tussenliggende certificaten te taggen die moeten worden geüpload.

                                                                                                                                                  U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

                                                                                                                                                  U moet het wachtwoord invoeren wanneer u de HDS-installatietool uitvoert.

                                                                                                                                                  De KMS-software dwingt sleutelgebruik of uitgebreide beperkingen voor sleutelgebruik niet af. Sommige certificeringsinstanties vereisen dat uitgebreide belangrijke gebruiksbeperkingen worden toegepast op elk certificaat, zoals serververificatie. U mag de serververificatie of andere instellingen gebruiken.

                                                                                                                                                  Vereisten voor virtuele host

                                                                                                                                                  De virtuele hosts die u instelt als knooppunten voor hybride databeveiliging in uw cluster, hebben de volgende vereisten:

                                                                                                                                                  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich in hetzelfde beveiligde datacenter bevinden

                                                                                                                                                  • VMware ESXi 6.5 (of hoger) geïnstalleerd en actief.


                                                                                                                                                     

                                                                                                                                                    U moet upgraden als u een eerdere versie van ESXi hebt.

                                                                                                                                                  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

                                                                                                                                                  Vereisten voor databaseserver


                                                                                                                                                   

                                                                                                                                                  Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. Wanneer de HDS-toepassingen zijn geïnstalleerd, maakt u het databaseschema.

                                                                                                                                                  Er zijn twee opties voor databaseserver. De vereisten voor elk zijn als volgt:

                                                                                                                                                  Tabel 2. Vereisten databaseserver per type database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

                                                                                                                                                  • SQL Server 2016, 2017 of 2019 (Enterprise of Standard) geïnstalleerd.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL JDBC-stuurprogramma van SQL Server 4.6

                                                                                                                                                  Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover Cluster Instances en Always On availability groups).

                                                                                                                                                  Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

                                                                                                                                                  Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

                                                                                                                                                  • De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

                                                                                                                                                  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees-/schrijftoegang hebben tot de database.

                                                                                                                                                  • De DNS-servers die u aan HDS-knooppunten levert, moeten uw Key Distribution Center (KDC) kunnen oplossen.

                                                                                                                                                  • U kunt de HDS-database-instantie op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een servicenaam registreren voor Kerberos-verbindingen.

                                                                                                                                                    De HDS-installatietool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens van uw ISO-configuratie om de SPN te construeren wanneer ze toegang aanvragen met Kerberos-verificatie.

                                                                                                                                                  Externe connectiviteitsvereisten

                                                                                                                                                  Configureer uw firewall om de volgende verbinding voor de HDS-toepassingen toe te staan:

                                                                                                                                                  App

                                                                                                                                                  Protocol

                                                                                                                                                  Poort

                                                                                                                                                  Richting van app

                                                                                                                                                  Bestemming

                                                                                                                                                  Knooppunten voor hybride databeveiliging

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS en WSS

                                                                                                                                                  • Webex-servers:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • Andere URL's die worden vermeld voor beveiliging van hybride gegevens in de tabel Aanvullende URL's voor hybride Webex-services met netwerkvereisten voor Webex-services

                                                                                                                                                  Hulpprogramma voor HDS-instellingen

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die inkomend zijn naar de knooppunten voor hybride databeveiliging, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients voor beheerdoeleinden toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22.

                                                                                                                                                  De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:

                                                                                                                                                  Regio

                                                                                                                                                  Host-URL's van Common Identity

                                                                                                                                                  Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europese Unie

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Vereisten voor proxyserver

                                                                                                                                                  • We ondersteunen officieel de volgende proxyoplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride databeveiliging.

                                                                                                                                                    • Transparante proxy: Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Expliciete proxy: Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de oprichting van websocket verstoren (wss:) verbindingen. Zie Squid-proxy's configureren voor hybride databeveiliging voor meer informatie over dit probleem.

                                                                                                                                                  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

                                                                                                                                                    • Geen verificatie met HTTP of HTTPS

                                                                                                                                                    • Basisverificatie met HTTP of HTTPS

                                                                                                                                                    • Digestverificatie met alleen HTTPS

                                                                                                                                                  • Voor een transparante inspecterende proxy of een expliciete HTTPS-proxy moet u een kopie hebben van het hoofdcertificaat van de proxy. De implementatie-instructies in deze handleiding vertellen u hoe u de kopie kunt uploaden naar de vertrouwensarchieven van de knooppunten voor hybride databeveiliging.

                                                                                                                                                  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 te dwingen via de proxy te routeren.

                                                                                                                                                  • Proxy's die webverkeer inspecteren, kunnen de verbindingen met de websocket verstoren. Indien dit probleem zich voordoet, verkeer overslaan (niet inspecteren) naar wbx2.com en ciscospark.com zal het probleem oplossen.

                                                                                                                                                  Voldoen aan de vereisten voor hybride databeveiliging

                                                                                                                                                  Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
                                                                                                                                                  1

                                                                                                                                                  Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en ontvang de referenties van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

                                                                                                                                                  2

                                                                                                                                                  Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  3

                                                                                                                                                  Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt ten minste twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter zijn geplaatst en voldoen aan de vereisten in Vereisten voor virtuele host.

                                                                                                                                                  4

                                                                                                                                                  Bereid de databaseserver voor die zal fungeren als de belangrijkste gegevensopslag voor het cluster, overeenkomstig de vereisten voor de databaseserver. De databaseserver moet samen met de virtuele hosts in het beveiligde datacenter worden geplaatst.

                                                                                                                                                  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik de standaarddatabase niet. De HDS-toepassingen maken het databaseschema wanneer ze zijn geïnstalleerd.)

                                                                                                                                                  2. Verzamel de gegevens die de knooppunten gebruiken om met de databaseserver te communiceren:

                                                                                                                                                    • de hostnaam of het IP-adres (host) en de poort

                                                                                                                                                    • de naam van de database (dbname) voor key storage

                                                                                                                                                    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de database met sleutelopslag

                                                                                                                                                  5

                                                                                                                                                  Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben.

                                                                                                                                                  6

                                                                                                                                                  Stel een Syslog-host in om logboeken te verzamelen van de knooppunten in het cluster. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Maak een veilig back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.


                                                                                                                                                   

                                                                                                                                                  Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die worden gebruikt voor codering en decodering van inhoud, leidt het niet onderhouden van een operationele implementatie tot het ONHERSTELBARE VERLIES van die inhoud.

                                                                                                                                                  Clients van de Webex-app brengen hun sleutels in de cache, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen niet te voorkomen zijn, kunnen ze worden hersteld. Volledig verlies (geen back-ups beschikbaar) van de database of het ISO-configuratiebestand leidt echter tot niet-herstelbare klantgegevens. Van de beheerders van de knooppunten voor hybride databeveiliging wordt verwacht dat ze regelmatig back-ups van de database en het configuratie-ISO-bestand onderhouden, en dat ze bereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als er een catastrofale storing optreedt.

                                                                                                                                                  8

                                                                                                                                                  Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw hybride databeveiligingsknooppunten mogelijk maakt, zoals beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  9

                                                                                                                                                  Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft tot het besturingssysteem op http://127.0.0.1:8080.

                                                                                                                                                  U gebruikt het Docker-exemplaar om de HDS-installatietool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratie-informatie op voor alle knooppunten voor hybride databeveiliging. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker Desktop voor meer informatie.

                                                                                                                                                  Om de HDS-setuptool te installeren en uit te voeren, moet de lokale machine de connectiviteit hebben die wordt beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  10

                                                                                                                                                  Als u een proxy integreert met hybride databeveiliging, moet u ervoor zorgen dat deze voldoet aan de vereisten voor de proxyserver.

                                                                                                                                                  11

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, maakt u een groep in Active Directory met de naam HdsTrialGroup en pilootgebruikers toevoegen. De proefgroep kan maximaal 250 gebruikers hebben. Het HdsTrialGroup object moet worden gesynchroniseerd met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Als u een groepsobject wilt synchroniseren, selecteert u het in de van de directoryconnector Configuratie > menu Objectselectie. (Zie de Implementatiehandleiding voor Cisco Directoryconnector voor gedetailleerde instructies.)


                                                                                                                                                   

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Houd er bij het selecteren van pilootgebruikers rekening mee dat als u besluit de implementatie voor hybride databeveiliging permanent te deactiveren, alle gebruikers geen toegang meer hebben tot inhoud in de ruimten die door de pilootgebruikers zijn gemaakt. Het verlies wordt duidelijk zodra de apps van gebruikers hun in de cache opgeslagen kopieën van de inhoud vernieuwen.

                                                                                                                                                  Een cluster voor hybride databeveiliging instellen

                                                                                                                                                  Taakstroom implementatie hybride databeveiliging

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  1

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  Download het OVA-bestand naar uw lokale computer voor later gebruik.

                                                                                                                                                  2

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Gebruik de HDS-installatietool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Maak een virtuele machine vanuit het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  4

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd ten tijde van de OVA-implementatie.

                                                                                                                                                  5

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  6

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u indien nodig het proxycertificaat toe aan het vertrouwensarchief.

                                                                                                                                                  7

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Registreer de VM bij de Cisco Webex-cloud als een knooppunt voor hybride databeveiliging.

                                                                                                                                                  8

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Voltooi de clusterinstelling.

                                                                                                                                                  9

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)

                                                                                                                                                  Totdat u een proefperiode start, genereren uw knooppunten een alarm dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). Je gebruikt dit bestand later in het installatieproces.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en klik vervolgens op Services.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik vervolgens op Instellen.

                                                                                                                                                  Als de kaart is uitgeschakeld of u deze niet ziet, neemt u contact op met uw accountteam of uw partnerorganisatie. Geef uw accountnummer en vraag of u uw organisatie wilt inschakelen voor hybride databeveiliging. Als u het accountnummer wilt vinden, klikt u op het tandwiel rechtsboven naast de naam van uw organisatie.


                                                                                                                                                   

                                                                                                                                                  U kunt de OVA ook op elk gewenst moment downloaden via het gedeelte Help op de pagina Instellingen. Klik op de kaart Hybride databeveiliging op Instellingen bewerken om de pagina te openen. Klik vervolgens op Hybride databeveiligingssoftware downloaden in het gedeelte Help.


                                                                                                                                                   

                                                                                                                                                  Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de nieuwste versie van het OVA-bestand downloadt.

                                                                                                                                                  3

                                                                                                                                                  Selecteer Nee om aan te geven dat u het knooppunt nog niet hebt ingesteld en klik vervolgens op Volgende.

                                                                                                                                                  Het OVA-bestand begint automatisch te downloaden. Sla het bestand op een locatie op uw computer op.
                                                                                                                                                  4

                                                                                                                                                  U kunt ook op Implementatiehandleiding openen klikken om te controleren of er een latere versie van deze handleiding beschikbaar is.

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Het installatieproces voor hybride databeveiliging maakt een ISO-bestand. Vervolgens gebruikt u de ISO om uw host voor hybride databeveiliging te configureren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5 opent. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de nieuwste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals:

                                                                                                                                                    • Aanmeldgegevens database

                                                                                                                                                    • Certificaatupdates

                                                                                                                                                    • Wijzigingen in het autorisatiebeleid

                                                                                                                                                  • Als u databaseverbindingen wilt versleutelen, stelt u uw PostgreSQL- of SQL Server-implementatie voor TLS in.

                                                                                                                                                  1

                                                                                                                                                  Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Met deze stap worden eerdere afbeeldingen van het HDS-configuratieprogramma opgeschoond. Als er geen eerdere afbeeldingen zijn, wordt een fout geretourneerd die u kunt negeren.

                                                                                                                                                  2

                                                                                                                                                  Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download de nieuwste stabiele installatiekopie voor uw omgeving:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                  • In normale omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  Gebruik een webbrowser om naar de localhost te gaan http://127.0.0.1:8080 en voer de gebruikersnaam van de klantbeheerder voor Control Hub in de prompt in.

                                                                                                                                                  De tool gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Het hulpprogramma geeft vervolgens de standaard aanmeldingsprompt weer.

                                                                                                                                                  7

                                                                                                                                                  Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de Control Hub-klantbeheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

                                                                                                                                                  8

                                                                                                                                                  Klik op de overzichtspagina van de installatietool op Aan de slag.

                                                                                                                                                  9

                                                                                                                                                  Op de pagina ISO Import hebt u de volgende opties:

                                                                                                                                                  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
                                                                                                                                                  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de browse en uploadt u het.
                                                                                                                                                  10

                                                                                                                                                  Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  • Als u nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat OK is, klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat is verlopen of als u het wilt vervangen, selecteert u Nee voor Doorgaan met gebruik van HDS-certificaatketen en privésleutel uit vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
                                                                                                                                                  11

                                                                                                                                                  Voer het databaseadres en het account voor HDS in om toegang te krijgen tot uw belangrijke gegevensopslag:

                                                                                                                                                  1. Selecteer uw Database Type (PostgreSQL of Microsoft SQL Server).

                                                                                                                                                    Als u Microsoft SQL Server kiest, krijgt u een veld Verificatietype.

                                                                                                                                                  2. (Alleen Microsoft SQL Server) Selecteer uw verificatietype:

                                                                                                                                                    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam.

                                                                                                                                                    • Windows-verificatie: U hebt een Windows-account in de indeling nodig username@DOMAIN in het veld Gebruikersnaam.

                                                                                                                                                  3. Voer het adres van de databaseserver in het formulier in <hostname>:<port> of <IP-address>:<port>.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    dbhost.example.org:1433 of 198.51.100.17:1433

                                                                                                                                                    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

                                                                                                                                                    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

                                                                                                                                                  4. Voer de databasenaam in.

                                                                                                                                                  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten in de database voor sleutelopslag.

                                                                                                                                                  12

                                                                                                                                                  Selecteer een TLS-databaseverbindingsmodus:

                                                                                                                                                  Mode

                                                                                                                                                  Beschrijving

                                                                                                                                                  Voorkeur voor TLS (standaardoptie)

                                                                                                                                                  Voor HDS-knooppunten is geen TLS vereist om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

                                                                                                                                                  TLS vereisen

                                                                                                                                                  HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  TLS vereisen en certificaatondertekenaar verifiëren


                                                                                                                                                   

                                                                                                                                                  Deze modus is niet van toepassing op SQL Server-databases.

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik de hoofdcertificaat van database control onder de vervolgkeuzelijst om het hoofdcertificaat voor deze optie te uploaden.

                                                                                                                                                  TLS vereisen en certificaatondertekenaar en hostnaam verifiëren

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databasehost en -poort. De namen moeten exact overeenkomen, anders verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik de hoofdcertificaat van database control onder de vervolgkeuzelijst om het hoofdcertificaat voor deze optie te uploaden.

                                                                                                                                                  Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-installatietool de TLS-verbinding met de databaseserver. Het hulpprogramma verifieert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, geeft het hulpprogramma een foutmelding waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en wilt doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de HDS-installatietool niet met succes kan worden getest.)

                                                                                                                                                  13

                                                                                                                                                  Configureer uw Syslogd-server op de pagina Systeemlogboeken:

                                                                                                                                                  1. Voer de URL van de syslog-server in.

                                                                                                                                                    Als de server niet DNS-oplosbaar is vanuit de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij Syslogd-host 10.92.43.23 op UDP-poort 514.
                                                                                                                                                  2. Als u uw server instelt om TLS-codering te gebruiken, controleert u Is uw syslog-server geconfigureerd voor SSL-codering?.

                                                                                                                                                    Als u dit selectievakje inschakelt, moet u een TCP-URL invoeren, zoals tcp://10.92.43.23:514.

                                                                                                                                                  3. Kies in de vervolgkeuzelijst Beëindiging syslog-record kiezen de juiste instelling voor uw ISO-bestand: Kies of Newline wordt gebruikt voor Graylog en Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Selecteer deze keuze voor Graylog en Rsyslog TCP.

                                                                                                                                                  4. Klik op Doorgaan.

                                                                                                                                                  14

                                                                                                                                                  (Optioneel) U kunt de standaardwaarde voor bepaalde parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u wilt wijzigen:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik op Doorgaan op het scherm Wachtwoord serviceaccounts opnieuw instellen.

                                                                                                                                                  Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u wilt deze opnieuw instellen om eerdere ISO-bestanden ongeldig te maken.

                                                                                                                                                  16

                                                                                                                                                  Klik op ISO-bestand downloaden. Sla het bestand op een gemakkelijk te vinden locatie op.

                                                                                                                                                  17

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem.

                                                                                                                                                  Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  18

                                                                                                                                                  Als u het installatieprogramma wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten voor herstel te maken of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het herstellen van de sleutels uit uw PostgreSQL- of Microsoft SQL Server-database is niet mogelijk.


                                                                                                                                                   

                                                                                                                                                  We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze kwijtraakt.

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Gebruik deze procedure om een virtuele machine te maken vanuit het OVA-bestand.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

                                                                                                                                                  2

                                                                                                                                                  Selecteer File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

                                                                                                                                                  4

                                                                                                                                                  Op de Selecteer een naam en map pagina, voer een in Naam virtuele machine voor het knooppunt (bijvoorbeeld 'HDS_Node_1') kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Op de Een computerbron selecteren pagina, kies de bestemming compute resource en klik vervolgens op Volgende.

                                                                                                                                                  Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloondetails weergegeven.

                                                                                                                                                  6

                                                                                                                                                  Controleer de sjabloondetails en klik op Volgende.

                                                                                                                                                  7

                                                                                                                                                  Als u wordt gevraagd de resourceconfiguratie te kiezen op de Configuratie pagina, klik op 4 CPU en klik vervolgens op Volgende.

                                                                                                                                                  8

                                                                                                                                                  Op de Selecteer opslag pagina, klik op Volgende om de standaard schijfindeling en het VM-opslagbeleid te accepteren.

                                                                                                                                                  9

                                                                                                                                                  Op de Selecteer netwerken-pagina, kies de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

                                                                                                                                                  10

                                                                                                                                                  Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen:

                                                                                                                                                  • Hostnaam: voer de FQDN (hostnaam en domein) of een hostnaam met één woord in voor het knooppunt.

                                                                                                                                                     
                                                                                                                                                    • U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                    • Als u een succesvolle registratie bij de cloud wilt garanderen, gebruikt u alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld. Kapitalisatie wordt momenteel niet ondersteund.

                                                                                                                                                    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

                                                                                                                                                  • IP-adres— Voer het IP-adres in voor de interne interface van het knooppunt.

                                                                                                                                                     

                                                                                                                                                    Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  • Masker: voer het adres van het subnetmasker in de punt-decimale notatie in. Bijvoorbeeld 255.255.255.0.
                                                                                                                                                  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat als toegangspunt dient voor een ander netwerk.
                                                                                                                                                  • DNS-servers: voer een door komma's gescheiden lijst met DNS-servers in, die domeinnamen vertalen naar numerieke IP-adressen. (Maximaal 4 DNS-vermeldingen zijn toegestaan.)
                                                                                                                                                  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die in uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
                                                                                                                                                  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster bereikbaar zijn vanaf clients in uw netwerk voor administratieve doeleinden.

                                                                                                                                                  Indien gewenst kunt u de configuratie van de netwerkinstellingen overslaan en de stappen volgen in De hybride databeveiliging VM instellen om de instellingen vanaf de knooppuntconsole te configureren.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  11

                                                                                                                                                  Klik met de rechtermuisknop op het knooppunt VM en kies Voeding > Voeding aan.

                                                                                                                                                  De software voor hybride databeveiliging is geïnstalleerd als gast op de VM-host. U kunt zich nu aanmelden bij de console en het knooppunt configureren.

                                                                                                                                                  Tips voor het oplossen van problemen

                                                                                                                                                  U kunt een vertraging van een paar minuten ervaren voordat de knooppuntcontainers naar boven komen. Er verschijnt een brugfirewallbericht op de console tijdens de eerste keer opstarten, tijdens welke u zich niet kunt aanmelden.

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

                                                                                                                                                  1

                                                                                                                                                  Selecteer in de VMware vSphere-client uw knooppunt voor hybride databeveiliging VM en selecteer het tabblad Console.

                                                                                                                                                  De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldprompt niet wordt weergegeven, drukt u op Enter.
                                                                                                                                                  2

                                                                                                                                                  Gebruik de volgende standaardaanmelding en het volgende wachtwoord om u aan te melden en de aanmeldgegevens te wijzigen:

                                                                                                                                                  1. Aanmelden: admin

                                                                                                                                                  2. Wachtwoord: cisco

                                                                                                                                                  Aangezien u zich voor de eerste keer aanmeldt bij uw VM, moet u het beheerderswachtwoord wijzigen.

                                                                                                                                                  3

                                                                                                                                                  Als u de netwerkinstellingen al hebt geconfigureerd in Install the HDS Host OVA, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken.

                                                                                                                                                  4

                                                                                                                                                  Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  5

                                                                                                                                                  (Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om aan uw netwerkbeleid te voldoen.

                                                                                                                                                  U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                  6

                                                                                                                                                  Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen van kracht worden.

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Omdat het ISO-bestand de hoofdsleutel bevat, mag het alleen worden blootgesteld op een 'need to know'-basis, voor toegang door de VM's voor hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen die beheerders toegang hebben tot de gegevensopslag.

                                                                                                                                                  1

                                                                                                                                                  Upload het ISO-bestand vanaf uw computer:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

                                                                                                                                                  2. Klik in de hardwarelijst van het tabblad Configuratie op Opslag.

                                                                                                                                                  3. Klik in de lijst Datastores met de rechtermuisknop op de datastore voor uw VM's en klik op Browse Datastore.

                                                                                                                                                  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

                                                                                                                                                  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

                                                                                                                                                  6. Klik op Ja om de waarschuwing voor de upload-/downloadbewerking te accepteren en sluit het dialoogvenster Gegevensopslag.

                                                                                                                                                  2

                                                                                                                                                  Koppel het ISO-bestand:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  2. Klik op OK om de waarschuwing voor beperkte bewerkingsopties te accepteren.

                                                                                                                                                  3. Klikken CD/DVD Drive 1, selecteer de optie om te koppelen vanuit een ISO-bestand voor de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

                                                                                                                                                  4. Controleer Connected en Connect bij ingeschakeld contact.

                                                                                                                                                  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als uw IT-beleid dit vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride databeveiliging. Als u een transparante inspecterende proxy of een expliciete HTTPS-proxy kiest, kunt u de interface van het knooppunt gebruiken om het hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding controleren vanuit de interface en mogelijke problemen oplossen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  1

                                                                                                                                                  Voer de URL voor het instellen van het HDS-knooppunt in https://[HDS Node IP or FQDN]/setup voer in een webbrowser de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Trust Store & Proxy en kies een optie:

                                                                                                                                                  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante niet-inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om met een niet-inspecterende proxy te werken. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTPS-configuratiewijzigingen nodig voor de implementatie van hybride databeveiliging. De HDS-knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).
                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de client (HDS-knooppunten) aan welke proxyserver moet worden gebruikt. Deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: kies http (bekijkt en beheert alle aanvragen die van de client worden ontvangen) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar voor HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                  Volg de volgende stappen voor een transparante inspecterende proxy, een expliciete HTTP-proxy met basisverificatie of een expliciete HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik op Upload a Root Certificate or End Entity Certificate (Een hoofdcertificaat uploaden of een entiteitscertificaat beëindigen) en navigeer vervolgens naar een hoofdcertificaat voor de proxy kiezen.

                                                                                                                                                  Het certificaat is geüpload maar nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijl van de chevron bij de naam van de certificaatverstrekker voor meer informatie of klik op Verwijderen als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

                                                                                                                                                  Als de verbindingstest mislukt, ziet u een foutbericht met de reden en hoe u het probleem kunt oplossen.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken. Deze voorwaarde wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de modus Geblokkeerde externe DNS-resolutie. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u Geblokkeerde externe DNS-resolutiemodus uitschakelen.

                                                                                                                                                  5

                                                                                                                                                  Nadat de verbindingstest is verlopen en de expliciete proxy alleen is ingesteld op https, schakelt u de schakelaar in op Alle poort 443/444-https-verzoeken van dit knooppunt routeren via de expliciete proxy. Deze instelling heeft 15 seconden nodig om van kracht te worden.

                                                                                                                                                  6

                                                                                                                                                  Klik op Alle certificaten installeren in de Trust Store (wordt weergegeven voor een expliciete HTTPS-proxy of een transparante inspecterende proxy) of Opnieuw opstarten (wordt weergegeven voor een expliciete HTTP-proxy), lees de prompt en klik vervolgens op Installeren als u klaar bent.

                                                                                                                                                  Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

                                                                                                                                                  7

                                                                                                                                                  Nadat het knooppunt opnieuw is opgestart, meldt u zich indien nodig opnieuw aan en opent u de pagina Overzicht om de connectiviteitscontroles te controleren en ervoor te zorgen dat ze allemaal groen zijn.

                                                                                                                                                  Met de proxyverbindingscontrole wordt alleen een subdomein van webex.com getest. Als er verbindingsproblemen zijn, is een algemeen probleem dat sommige van de clouddomeinen die in de installatie-instructies worden vermeld, worden geblokkeerd bij de proxy.

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Voor deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in de Hybride databeveiliging VM instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

                                                                                                                                                  Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd om redundantie te bieden.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Selecteer Services in het menu links op het scherm.

                                                                                                                                                  3

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellen.

                                                                                                                                                  De pagina Knooppunt voor hybride databeveiliging registreren wordt weergegeven.
                                                                                                                                                  4

                                                                                                                                                  Selecteer Ja om aan te geven dat u het knooppunt hebt ingesteld en klaar bent om het te registreren. Klik vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Voer in het eerste veld een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

                                                                                                                                                  We raden u aan een cluster een naam te geven op basis van waar de knooppunten van het cluster zich geografisch bevinden. Voorbeelden: "San Francisco" of "New York" of "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                  Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein dat u hebt gebruikt in De VM voor hybride databeveiliging instellen.

                                                                                                                                                  Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik op Ga naar knooppunt.

                                                                                                                                                  8

                                                                                                                                                  Klik in het waarschuwingsbericht op Doorgaan.

                                                                                                                                                  Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  9

                                                                                                                                                  Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                  Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  10

                                                                                                                                                  Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Op de pagina Hybride databeveiliging wordt het nieuwe cluster weergegeven met het knooppunt dat u hebt geregistreerd. Het knooppunt downloadt automatisch de nieuwste software vanuit de cloud.

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Als u extra knooppunten aan uw cluster wilt toevoegen, maakt u gewoon extra VM's en monteert u hetzelfde configuratie-ISO-bestand en registreert u het knooppunt. We raden u aan ten minste 3 knooppunten te hebben.

                                                                                                                                                   

                                                                                                                                                  Op dit moment zijn de back-up-VM's die u hebt gemaakt in Voldoen aan de vereisten voor hybride databeveiliging stand-byhosts die alleen worden gebruikt in het geval van noodherstel. Ze zijn tot die tijd niet geregistreerd bij het systeem. Zie Noodherstel met behulp van het stand-bydatacenter voor meer informatie.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Maak een nieuwe virtuele machine vanuit de OVA en herhaal de stappen in Installeer de HDS-host-OVA.

                                                                                                                                                  2

                                                                                                                                                  Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De hybride databeveiliging instellen.

                                                                                                                                                  3

                                                                                                                                                  Herhaal op de nieuwe VM de stappen in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Configureer het HDS-knooppunt voor proxyintegratie indien nodig voor het nieuwe knooppunt.

                                                                                                                                                  5

                                                                                                                                                  Registreer het knooppunt.

                                                                                                                                                  1. Selecteer in https://admin.webex.comServices in het menu links op het scherm.

                                                                                                                                                  2. Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik op Resources.

                                                                                                                                                    De pagina Resources voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3. Klik op Resource toevoegen.

                                                                                                                                                  4. Selecteer in het eerste veld de naam van uw bestaande cluster.

                                                                                                                                                  5. Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                    Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex-cloud.
                                                                                                                                                  6. Klik op Ga naar knooppunt.

                                                                                                                                                    Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u machtigingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Uw knooppunt is geregistreerd. Houd er rekening mee dat totdat u een proefperiode start, uw knooppunten een alarm genereren dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)
                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie

                                                                                                                                                  Doorstroom proefperiode naar productietaak

                                                                                                                                                  Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers toevoegen en deze gaan gebruiken om uw implementatie te testen en te verifiëren ter voorbereiding op de overgang naar productie.

                                                                                                                                                  1

                                                                                                                                                  Indien van toepassing, synchroniseer de HdsTrialGroup groepsobject.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  2

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd.

                                                                                                                                                  3

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Controleer of belangrijke aanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Controleer de status en stel e-mailmeldingen in voor alarmen.

                                                                                                                                                  5

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  6

                                                                                                                                                  Voltooi de onderzoeksfase met een van de volgende acties:

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Proefperiode starten.

                                                                                                                                                  De servicestatus verandert in de proefmodus.
                                                                                                                                                  4

                                                                                                                                                  Klik op Gebruikers toevoegen en voer het e-mailadres van een of meer gebruikers in om uw knooppunten voor hybride databeveiliging te gebruiken voor codering- en indexeringsservices.

                                                                                                                                                  (Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory om de testgroep te beheren, HdsTrialGroup.)

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging te testen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Stel uw implementatie voor hybride databeveiliging in.

                                                                                                                                                  • Activeer de proefperiode en voeg verschillende proefgebruikers toe.

                                                                                                                                                  • Zorg ervoor dat u toegang hebt tot de syslog om te controleren of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilootgebruikers en maak vervolgens een ruimte en nodig ten minste één pilootgebruiker en één niet-pilootgebruiker uit.


                                                                                                                                                   

                                                                                                                                                  Als u de implementatie van hybride databeveiliging deactiveert, is inhoud in ruimten die pilootgebruikers maken niet meer toegankelijk zodra de in de client opgeslagen kopieën van de coderingssleutels zijn vervangen.

                                                                                                                                                  2

                                                                                                                                                  Verzend berichten naar de nieuwe ruimte.

                                                                                                                                                  3

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de sleutelaanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1. Als u wilt controleren of een gebruiker eerst een veilig kanaal naar de KMS heeft ingesteld, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden, zoals de volgende (identificatiegegevens ingekort voor leesbaarheid):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om te controleren of een gebruiker een bestaande sleutel van het KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Om te controleren of een gebruiker een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Als u wilt controleren of een gebruiker die het maken van een nieuw KMS Resource Object (KRO) aanvraagt wanneer een ruimte of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Een statusindicator in Control Hub geeft aan of alles goed gaat met de implementatie van hybride databeveiliging. Meld u aan voor e-mailmeldingen voor meer proactieve waarschuwingen. U krijgt een melding wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
                                                                                                                                                  1

                                                                                                                                                  Selecteer in Control HubServices in het menu links op het scherm.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellingen.

                                                                                                                                                  De pagina Instellingen voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3

                                                                                                                                                  Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen gescheiden door komma's en druk op Enter.

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  Nadat u een proefperiode hebt geactiveerd en de eerste set proefgebruikers hebt toegevoegd, kunt u op elk gewenst moment leden van de proefperiode toevoegen of verwijderen terwijl de proefperiode actief is.

                                                                                                                                                  Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker om sleutels en sleutels te maken vanuit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die is opgeslagen op uw KMS, zal de cloud-KMS deze namens de gebruiker ophalen.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep te beheren, HdsTrialGroup; u kunt de groepsleden weergeven in Control Hub, maar ze niet toevoegen of verwijderen.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Proefmodus van het gebied Servicestatus op Gebruikers toevoegen of klik op weergeven en bewerken om gebruikers uit de proefperiode te verwijderen.

                                                                                                                                                  4

                                                                                                                                                  Voer het e-mailadres in van een of meer gebruikers die u wilt toevoegen of klik op de X met een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan .

                                                                                                                                                  Overstappen van proefperiode naar productie

                                                                                                                                                  Als u er zeker van bent dat uw implementatie goed werkt voor de gebruikers van de proefperiode, kunt u overgaan naar productie. Wanneer u overgaat naar productie, gebruiken alle gebruikers in de organisatie uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. U kunt niet teruggaan naar de proefmodus vanuit de productie, tenzij u de service deactiveert als onderdeel van noodherstel. Als u de service opnieuw activeert, moet u een nieuwe proefperiode instellen.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Verplaatsen naar productie.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u al uw gebruikers naar de productie wilt verplaatsen.

                                                                                                                                                  Uw proefperiode beëindigen zonder over te stappen naar productie

                                                                                                                                                  Als u tijdens uw proefperiode besluit om niet door te gaan met uw implementatie van Hybride databeveiliging, kunt u Hybride databeveiliging deactiveren. Hiermee wordt de proefperiode beëindigd en worden de proefgebruikers weer verplaatst naar de cloudservices voor databeveiliging. De gebruikers van de proefperiode verliezen toegang tot de gegevens die tijdens de proefperiode zijn gecodeerd.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Deactiveren op Deactiveren.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u de service wilt deactiveren en beëindig de proefperiode.

                                                                                                                                                  Uw HDS-implementatie beheren

                                                                                                                                                  HDS-implementatie beheren

                                                                                                                                                  Gebruik de taken die hier worden beschreven om uw implementatie voor hybride databeveiliging te beheren.

                                                                                                                                                  Upgradeschema voor cluster instellen

                                                                                                                                                  Software-upgrades voor hybride databeveiliging worden automatisch uitgevoerd op clusterniveau, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens het upgradeschema voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie om de cluster handmatig te upgraden vóór de geplande upgradetijd. U kunt een specifiek upgradeschema instellen of het standaardschema van 3:00 AM Daily Verenigde Staten gebruiken: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

                                                                                                                                                  De upgradeplanning instellen:

                                                                                                                                                  1

                                                                                                                                                  Meld u aan Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Klik op de pagina Overzicht onder Hybride services op Hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Selecteer het cluster op de pagina Resources voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Selecteer in het deelvenster Overzicht aan de rechterkant onder Clusterinstellingen de clusternaam.

                                                                                                                                                  5

                                                                                                                                                  Selecteer op de pagina Instellingen onder Upgraden de tijd en tijdzone voor het upgradeschema.

                                                                                                                                                  Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen naar de volgende dag door op Uitstellen te klikken.

                                                                                                                                                  De knooppuntconfiguratie wijzigen

                                                                                                                                                  Soms moet u de configuratie van uw Hybrid Data Security-knooppunt wijzigen om een reden zoals:
                                                                                                                                                  • x.509-certificaten wijzigen vanwege verlopen of andere redenen.


                                                                                                                                                     

                                                                                                                                                    We ondersteunen het wijzigen van de CN- domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om het cluster te registreren.

                                                                                                                                                  • Database-instellingen bijwerken om te wijzigen in een replica van de PostgreSQL- of Microsoft SQL Server-database.


                                                                                                                                                     

                                                                                                                                                    We bieden geen ondersteuning voor het migreren van gegevens van PostgreSQL naar Microsoft SQL Server, of andersom. Als u de databaseomgeving wilt wijzigen, start u een nieuwe implementatie van Hybrid Data Security.

                                                                                                                                                  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

                                                                                                                                                  Om veiligheidsredenen gebruikt hybride databeveiliging serviceaccountwachtwoorden die elke 9 maanden worden gewijzigd. De HDS-setuptool genereert deze wachtwoorden en u implementeert ze in uw HDS-knooppunten als onderdeel van het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een 'kennisgeving van het verlopen van uw wachtwoord' van het Webex-team, waarin u wordt gevraagd het wachtwoord van uw machineaccount opnieuw in te stellen. (De e-mail bevat de tekst 'Gebruik de computeraccount- API om het wachtwoord bij te werken.') Als uw wachtwoorden nog niet zijn verlopen, biedt het hulpprogramma u twee opties:

                                                                                                                                                  • Zachte reset —De oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO -bestand op de knooppunten geleidelijk te vervangen.

                                                                                                                                                  • Harde reset —De oude wachtwoorden werken onmiddellijk niet meer.

                                                                                                                                                  Als uw wachtwoorden verlopen zonder een reset, heeft dit gevolgen voor uw HDS-service, waardoor een onmiddellijke harde reset en vervanging van het ISO -bestand op alle knooppunten nodig is.

                                                                                                                                                  Gebruik deze procedure om een nieuw ISO -configuratiebestand te genereren en dit toe te passen op uw cluster.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen bij het weergeven van de Docker-container in 1.e. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel die de PostgreSQL- of Microsoft SQL Server-database versleutelt. U hebt de ISO nodig wanneer u configuratiewijzigingen aanbrengt, inclusief databasereferenties, certificaatupdates of wijzigingen in het autorisatiebeleid.

                                                                                                                                                  1

                                                                                                                                                  Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

                                                                                                                                                  1. Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Met deze stap worden eerdere afbeeldingen van het HDS-configuratieprogramma opgeschoond. Als er geen eerdere afbeeldingen zijn, wordt een fout geretourneerd die u kunt negeren.

                                                                                                                                                  2. Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download de nieuwste stabiele installatiekopie voor uw omgeving:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 beschikken niet over de schermen voor het opnieuw instellen van wachtwoorden.

                                                                                                                                                  5. Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                    • In normale omgevingen zonder een proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'.

                                                                                                                                                  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  7. Wanneer u hierom wordt gevraagd, voert u uw -klantaanmeldgegevens in en klikt u vervolgens op Accepteren om door te gaan.

                                                                                                                                                  8. Importeer het huidige ISO-configuratiebestand.

                                                                                                                                                  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

                                                                                                                                                    Als u het installatieprogramma wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

                                                                                                                                                  2

                                                                                                                                                  Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor het -knooppunt en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

                                                                                                                                                  1. Installeer de HDS-host-OVA.

                                                                                                                                                  2. Stel de HDS-VM in.

                                                                                                                                                  3. Koppel het bijgewerkte configuratiebestand.

                                                                                                                                                  4. Registreer het nieuwe knooppunt in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Koppel het ISO -bestand voor bestaande HDS-knooppunten waarop het oudere configuratiebestand wordt uitgevoerd. Voer de volgende procedure uit op elk knooppunt en werk elk knooppunt bij voordat u het volgende knooppunt uitschakelt:

                                                                                                                                                  1. Schakel de virtuele machine uit.

                                                                                                                                                  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  3. Klikken CD/DVD Drive 1 Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

                                                                                                                                                  4. Schakel het selectievakje Verbinding maken na inschakelen in.

                                                                                                                                                  5. Sla uw wijzigingen op en schakel de virtuele machine in.

                                                                                                                                                  4

                                                                                                                                                  Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus uitschakelen

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. Als de DNS-server van het knooppunt geen openbare DNS-namen kan oplossen, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie.

                                                                                                                                                  Als uw knooppunten openbare DNS-namen kunnen oplossen via interne DNS-servers, kunt u deze modus uitschakelen door de proxyverbindingstest op elk knooppunt opnieuw uit te voeren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Zorg ervoor dat uw interne DNS-servers openbare DNS-namen kunnen oplossen en dat uw knooppunten met hen kunnen communiceren.
                                                                                                                                                  1

                                                                                                                                                  Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/instellingen, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Overzicht (de standaardpagina).

                                                                                                                                                  Indien ingeschakeld, Geblokkeerde externe DNS omzetting is ingesteld op Ja .

                                                                                                                                                  3

                                                                                                                                                  Ga naar de pagina Vertrouwensarchief & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken en blijft deze modus actief. Anders moet de geblokkeerde externe DNS-resolutie worden ingesteld op nee nadat u het knooppunt opnieuw hebt opgestart en teruggaat naar de pagina Overzicht.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Herhaal de proxyverbindingstest op elk knooppunt in uw cluster voor hybride databeveiliging.

                                                                                                                                                  Een knooppunt verwijderen

                                                                                                                                                  Gebruik deze procedure om een knooppunt voor hybride databeveiliging uit de Webex-cloud te verwijderen. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en de virtuele machine uit te schakelen.

                                                                                                                                                  2

                                                                                                                                                  Verwijder het knooppunt:

                                                                                                                                                  1. Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources voor hybride databeveiliging weer te geven.

                                                                                                                                                  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

                                                                                                                                                  4. Klik op Knooppuntenlijst openen.

                                                                                                                                                  5. Selecteer op het tabblad Knooppunten het knooppunt dat u wilt verwijderen.

                                                                                                                                                  6. Klik op Acties > Knooppunt uitschrijven.

                                                                                                                                                  3

                                                                                                                                                  Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

                                                                                                                                                  Als u de VM niet verwijdert, moet u het ISO-configuratiebestand loskoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken om toegang te krijgen tot uw beveiligingsgegevens.

                                                                                                                                                  Noodherstel met behulp van het stand-bydatacenter

                                                                                                                                                  De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt voor het coderen van berichten en andere inhoud die in de Webex-cloud is opgeslagen. Voor elke gebruiker binnen de organisatie die is toegewezen aan hybride databeveiliging, worden nieuwe aanvragen voor het maken van sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de sleutels die zijn gemaakt aan gebruikers die bevoegd zijn om ze op te halen, bijvoorbeeld leden van een gespreksruimte.

                                                                                                                                                  Omdat het cluster de kritieke functie van het leveren van deze sleutels vervult, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden behouden. Verlies van de database met hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van inhoud van de klant. De volgende praktijken zijn verplicht om een dergelijk verlies te voorkomen:

                                                                                                                                                  Als door een calamiteit de HDS-implementatie in het primaire datacenter niet meer beschikbaar is, volgt u deze procedure om handmatig te failover te gaan naar het stand-bydatacenter.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe of verwijder de passiveMode configuratie om het knooppunt actief te maken. Het knooppunt kan het verkeer afhandelen zodra dit is geconfigureerd.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de knooppunten van het stand-bydatacenter zich niet in de passieve modus bevinden. 'KMS geconfigureerd in de passieve modus' mag niet worden weergegeven in de syslogs.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als het primaire datacenter na failover weer actief wordt, plaatst u het stand-bydatacenter opnieuw in de passieve modus door de stappen te volgen die worden beschreven in Setup Standby Data Center for Disaster Recovery.

                                                                                                                                                  (Optioneel) ISO loskoppelen na HDS-configuratie

                                                                                                                                                  De standaard HDS-configuratie wordt uitgevoerd met de ISO gemonteerd. Maar sommige klanten geven er de voorkeur aan ISO-bestanden niet continu gemonteerd achter te laten. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

                                                                                                                                                  U gebruikt de ISO-bestanden nog steeds om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de installatietool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra al uw knooppunten de configuratiewijzigingen hebben overgenomen, kunt u de ISO opnieuw loskoppelen met deze procedure.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

                                                                                                                                                  1

                                                                                                                                                  Sluit een van uw HDS-knooppunten af.

                                                                                                                                                  2

                                                                                                                                                  Selecteer het HDS-knooppunt in het vCenter-serverapparaat.

                                                                                                                                                  3

                                                                                                                                                  Kies Instellingen bewerken > CD/DVD-station en ISO-gegevensopslagbestand uitschakelen.

                                                                                                                                                  4

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 20 minuten geen alarmen zijn.

                                                                                                                                                  5

                                                                                                                                                  Herhaal dit om de beurt voor elk HDS-knooppunt.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Waarschuwingen en problemen weergeven

                                                                                                                                                  Een implementatie voor hybride databeveiliging wordt als onbeschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als het cluster zo traag werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

                                                                                                                                                  • Nieuwe ruimten kunnen niet worden gemaakt (kan geen nieuwe sleutels maken)

                                                                                                                                                  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

                                                                                                                                                    • Nieuwe gebruikers toegevoegd aan een ruimte (kan geen toetsen ophalen)

                                                                                                                                                    • Bestaande gebruikers in een ruimte met een nieuwe client (kan geen sleutels ophalen)

                                                                                                                                                  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

                                                                                                                                                  Het is belangrijk dat u uw cluster voor hybride databeveiliging goed bewaakt en alle waarschuwingen onmiddellijk aanpakt om onderbrekingen van de service te voorkomen.

                                                                                                                                                  Waarschuwingen

                                                                                                                                                  Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen aan de organisatiebeheerder weer en worden e-mails naar het geconfigureerde e-mailadres verzonden. De waarschuwingen behandelen veel voorkomende scenario's.

                                                                                                                                                  Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

                                                                                                                                                  Alarm

                                                                                                                                                  Actie

                                                                                                                                                  Toegang tot lokale database mislukt.

                                                                                                                                                  Controleer op databasefouten of problemen met het lokale netwerk.

                                                                                                                                                  Lokale databaseverbinding mislukt.

                                                                                                                                                  Controleer of de databaseserver beschikbaar is en of de juiste serviceaccountgegevens zijn gebruikt in de knooppuntconfiguratie.

                                                                                                                                                  Toegang tot cloudservice mislukt.

                                                                                                                                                  Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Externe verbindingsvereisten.

                                                                                                                                                  Cloudserviceregistratie vernieuwen.

                                                                                                                                                  Registratie bij cloudservices is geschrapt. De registratie wordt vernieuwd.

                                                                                                                                                  Registratie van cloudservice is verbroken.

                                                                                                                                                  Registratie voor cloudservices is beëindigd. De service wordt afgesloten.

                                                                                                                                                  Service nog niet geactiveerd.

                                                                                                                                                  Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie.

                                                                                                                                                  Het geconfigureerde domein komt niet overeen met het servercertificaat.

                                                                                                                                                  Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

                                                                                                                                                  De meest waarschijnlijke oorzaak is dat de CN van het certificaat onlangs is gewijzigd en nu verschilt van de CN die tijdens de eerste installatie is gebruikt.

                                                                                                                                                  Kan niet verifiëren bij cloudservices.

                                                                                                                                                  Controleer of de gegevens van het serviceaccount correct zijn en mogelijk verlopen.

                                                                                                                                                  Kan lokaal keystore-bestand niet openen.

                                                                                                                                                  Controleer op integriteit en nauwkeurigheid van het wachtwoord in het lokale keystore-bestand.

                                                                                                                                                  Lokaal servercertificaat is ongeldig.

                                                                                                                                                  Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

                                                                                                                                                  Kan statistieken niet plaatsen.

                                                                                                                                                  Controleer de toegang van het lokale netwerk tot externe cloudservices.

                                                                                                                                                  /media/configdrive/hds directory bestaat niet.

                                                                                                                                                  Controleer de ISO-montageconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om opnieuw op te starten en of het met succes wordt geïnstalleerd.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met hybride databeveiliging.
                                                                                                                                                  1

                                                                                                                                                  Controleer Control Hub op waarschuwingen en los alle items op die u daar vindt.

                                                                                                                                                  2

                                                                                                                                                  Controleer de uitvoer van de syslog-server voor activiteit vanuit de implementatie voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Neem contact op met de ondersteuning van Cisco.

                                                                                                                                                  Andere opmerkingen

                                                                                                                                                  Bekende problemen voor hybride databeveiliging

                                                                                                                                                  • Als u uw cluster voor hybride databeveiliging afsluit (door het te verwijderen in Control Hub of door alle knooppunten af te sluiten), uw configuratie-ISO-bestand verliest of toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst met personen die zijn gemaakt met toetsen van uw KMS. Dit geldt zowel voor proefperioden als voor productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en dringen er bij u op aan om uw HDS-services niet af te sluiten zodra ze actieve gebruikersaccounts afhandelen.

                                                                                                                                                  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een periode (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefperiode voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken tot er een time-out optreedt. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact opneemt voor coderingssleutels.

                                                                                                                                                    Hetzelfde gedrag treedt op wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle niet-proefgebruikers met bestaande ECDH-verbindingen met de vorige gegevensbeveiligingsservices blijven deze services gebruiken totdat er opnieuw wordt onderhandeld over de ECDH-verbinding (via time-out of door afmelden en weer aanmelden).

                                                                                                                                                  OpenSSL gebruiken om een PKCS12-bestand te genereren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS Setup Tool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten niet op de een of andere manier.

                                                                                                                                                  • Als u ervoor kiest om OpenSSL te gebruiken, bieden we deze procedure aan als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

                                                                                                                                                  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

                                                                                                                                                  • Maak een privésleutel aan.

                                                                                                                                                  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificeringsinstantie (CA).

                                                                                                                                                  1

                                                                                                                                                  Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Geef het certificaat weer als tekst en controleer de details.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Gebruik een teksteditor om een certificaatbundelbestand met de naam hdsnode-bundle.pem. Het bundelbestand moet het servercertificaat, eventuele tussentijdse CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Maak het .p12-bestand met de vriendelijke naam kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controleer de gegevens van het servercertificaat.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Voer een wachtwoord in om de privésleutel te coderen, zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de lijnen bevatten friendlyName: kms-private-key.

                                                                                                                                                    Voorbeeld:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Ga terug naar Vereisten voor hybride databeveiliging voltooien. U gebruikt de hdsnode.p12 bestand en het wachtwoord dat u ervoor hebt ingesteld, in Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

                                                                                                                                                  Verkeer tussen de HDS-knooppunten en de cloud

                                                                                                                                                  Verkeer voor verzameling uitgaande statistieken

                                                                                                                                                  De knooppunten voor hybride databeveiliging sturen bepaalde statistieken naar de Webex-cloud. Dit zijn onder andere systeemstatistieken voor de maximale heap, gebruikte heap, CPU-belasting en draadtelling; statistieken over synchrone en asynchrone threads; statistieken over waarschuwingen met een drempelwaarde voor coderingsverbindingen, latentie of de lengte van een aanvraagwachtrij; statistieken over de gegevensopslag; en coderingsverbindingsstatistieken. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (gescheiden van het verzoekkanaal).

                                                                                                                                                  Inkomend verkeer

                                                                                                                                                  De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer vanuit de Webex-cloud:

                                                                                                                                                  • Coderingsverzoeken van clients die door de coderingsservice worden gerouteerd

                                                                                                                                                  • Upgrades naar de knooppuntsoftware

                                                                                                                                                  Squid-proxy's configureren voor hybride databeveiliging

                                                                                                                                                  Websocket kan geen verbinding maken via de Squid Proxy

                                                                                                                                                  Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de instelling van websocket ( wss:) verbindingen die Hybride databeveiliging vereist. Deze secties bieden richtlijnen voor het configureren van verschillende versies van Squid om te negeren wss: verkeer voor de goede werking van de diensten.

                                                                                                                                                  Inktvis 4 en 5

                                                                                                                                                  Voeg de on_unsupported_protocol richtlijn tot squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Pijlinktvis 3.5.27

                                                                                                                                                  We hebben hybride databeveiliging met succes getest met de volgende regels toegevoegd aan squid.conf. Deze regels kunnen worden gewijzigd bij het ontwikkelen van functies en het bijwerken van de Webex-cloud.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Voorwoord

                                                                                                                                                  Nieuwe en gewijzigde informatie

                                                                                                                                                  Datum

                                                                                                                                                  Aangebrachte wijzigingen

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augustus 2023

                                                                                                                                                  23 mei 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker Desktop.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  U kunt het bestand met de privésleutel en de CSR opnieuw gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie.

                                                                                                                                                  30 april 2021

                                                                                                                                                  De VM-vereiste voor lokale harde schijfruimte is gewijzigd in 30 GB. Zie Vereisten voor virtuele host voor meer informatie.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  De HDS-installatietool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO maken voor de HDS-hosts voor meer informatie.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu worden uitgevoerd zonder een gemonteerd ISO-bestand. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Informatie toegevoegd over het hulpprogramma HDS-instellingen en proxy's om een configuratie-ISO voor de HDS-hosts te maken.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Bijgewerkte Installatiebestanden downloaden.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt.

                                                                                                                                                  14 augustus 2020

                                                                                                                                                  De configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces.

                                                                                                                                                  5 augustus 2020

                                                                                                                                                  Bijgewerkte Test uw implementatie voor hybride databeveiliging voor wijzigingen in logboekberichten.

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om het maximale aantal hosts te verwijderen.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Bijgewerkt Een knooppunt verwijderen voor wijzigingen in de gebruikersinterface van Control Hub.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  De ISO voor configuratie maken voor de HDS-hosts is bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk hebt ingesteld.

                                                                                                                                                  29 mei 2020

                                                                                                                                                  Bijgewerkt: maak een configuratie-ISO voor de HDS-hosts om aan te geven dat u ook TLS kunt gebruiken met SQL Server-databases, gebruikersgebruikerswijzigingen en andere verduidelijkingen.

                                                                                                                                                  5 mei 2020

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om de nieuwe vereisten voor ESXi 6.5 weer te geven.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met nieuwe Americas CI-hosts.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met informatie over regionale CI-hosts.

                                                                                                                                                  20 februari 2020Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met informatie over het nieuwe optionele scherm Geavanceerde instellingen in de HDS-installatietool.
                                                                                                                                                  4 februari 2020Proxyserververeisten bijgewerkt.
                                                                                                                                                  16 december 2019De vereiste voor geblokkeerde externe DNS-resolutiemodus is verduidelijkt om te werken in de vereisten voor de proxyserver.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende gedeelten:

                                                                                                                                                  8 november 2019

                                                                                                                                                  U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van erna.

                                                                                                                                                  De volgende gedeelten zijn dienovereenkomstig bijgewerkt:


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Standaard SQL-server toegevoegd aan vereisten voor databaseserver.

                                                                                                                                                  29 augustus 2019Bijlage Squid-proxy's configureren voor hybride databeveiliging toegevoegd met richtlijnen voor het configureren van squid-proxy's om websocketverkeer te negeren voor een goede werking.
                                                                                                                                                  20 augustus 2019

                                                                                                                                                  Er zijn gedeelten toegevoegd en bijgewerkt voor proxyondersteuning voor communicatie van knooppunten voor hybride databeveiliging naar de Webex-cloud.

                                                                                                                                                  Zie het Help-artikel Proxy-ondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie.

                                                                                                                                                  13 juni 2019Bijgewerkte Trial to Production Task Flow met een herinnering om de HdsTrialGroup groepsobject voordat een proefperiode wordt gestart als uw organisatie adreslijstsynchronisatie gebruikt.
                                                                                                                                                  6 maart 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • De hoeveelheid lokale harde schijfruimte per server die u opzij moet zetten bij het voorbereiden van de virtuele hosts die de knooppunten voor hybride databeveiliging worden, van 50 GB tot 20 GB, is gecorrigeerd om de grootte van de schijf weer te geven die door de OVA wordt gemaakt.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Knooppunten voor hybride databeveiliging ondersteunen nu gecodeerde verbindingen met PostgreSQL-databaseservers en gecodeerde logboekverbindingen met een TLS-compatibele syslog-server. Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met instructies.

                                                                                                                                                  • De bestemmings-URL's zijn verwijderd uit de tabel 'Vereisten voor internetconnectiviteit voor hybride gegevensbeveiligingsknooppunt VM's'. De tabel verwijst nu naar de lijst die wordt bijgehouden in de tabel 'Aanvullende URL's voor hybride services van Webex Teams' van Netwerkvereisten voor Webex Teams-services.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybride databeveiliging ondersteunt nu Microsoft SQL Server als database. SQL Server Always On (Always On Failover Clusters en Always on Availability Groups) wordt ondersteund door de JDBC-stuurprogramma's die worden gebruikt in hybride databeveiliging. Er is inhoud toegevoegd met betrekking tot implementatie met SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ondersteuning voor Microsoft SQL Server is alleen bedoeld voor nieuwe implementaties van Hybride databeveiliging. We ondersteunen momenteel geen migratie van gegevens van PostgreSQL naar Microsoft SQL Server in een bestaande implementatie.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 mei 2018

                                                                                                                                                  Gewijzigde terminologie om de rebranding van Cisco Spark weer te geven:

                                                                                                                                                  • Cisco Spark hybride databeveiliging is nu hybride databeveiliging.

                                                                                                                                                  • De Cisco Spark-app is nu de Webex-app.

                                                                                                                                                  • De Cisco Collaboraton Cloud is nu de Webex-cloud.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • In de tabel X.509-certificaatvereisten is gespecificeerd dat het certificaat geen jokercertificaat kan zijn en dat de KMS het CN-domein gebruikt, niet een domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Adreslijstsynchronisatie van de HdsTrialGroup is verduidelijkt.

                                                                                                                                                  • Vaste instructies voor het uploaden van het ISO-configuratiebestand voor montage op de VM-knooppunten.

                                                                                                                                                  18 augustus 2017

                                                                                                                                                  Voor het eerst gepubliceerd

                                                                                                                                                  Aan de slag met hybride databeveiliging

                                                                                                                                                  Overzicht van hybride databeveiliging

                                                                                                                                                  Vanaf dag één is gegevensbeveiliging de belangrijkste focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end inhoudsversleuteling, mogelijk gemaakt door Webex -app-clients die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografische sleutels die clients gebruiken om berichten en bestanden dynamisch te versleutelen en ontsleutelen.

                                                                                                                                                  Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride gegevensbeveiliging verplaatst het KMS en andere beveiligingsgerelateerde functies naar het bedrijfsgegevens , zodat niemand anders dan u de sleutels heeft tot uw versleutelde inhoud.

                                                                                                                                                  Architectuur beveiligingsgebied

                                                                                                                                                  De Webex-cloudarchitectuur scheidt verschillende soorten service in afzonderlijke realms of vertrouwensdomeinen, zoals hieronder wordt weergegeven.

                                                                                                                                                  Scheidingsgebieden (zonder hybride databeveiliging)

                                                                                                                                                  Laten we eerst eens kijken naar deze zuivere cloudcase, waarin Cisco alle functies in zijn clouddomeinen aanbiedt om meer inzicht te krijgen in hybride databeveiliging. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks kunnen worden gecorreleerd met hun persoonlijke informatie zoals e-mailadres, is logisch en fysiek gescheiden van de beveiligingsrealm in datacenter B. Beide zijn op hun beurt gescheiden van de realm waar versleutelde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

                                                                                                                                                  In dit diagram is de client de Webex-app die wordt uitgevoerd op de laptop van een gebruiker en is deze geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

                                                                                                                                                  1. De client maakt een veilige verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel om het bericht te versleutelen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

                                                                                                                                                  2. Het bericht wordt gecodeerd voordat het de client verlaat. De klant stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

                                                                                                                                                  3. Het gecodeerde bericht wordt verzonden naar de nalevingsservice voor nalevingscontroles.

                                                                                                                                                  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

                                                                                                                                                  Wanneer u hybride databeveiliging implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de realms van Cisco.

                                                                                                                                                  Samenwerken met andere organisaties

                                                                                                                                                  Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, routeert uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS te krijgen en stuurt de sleutel vervolgens terug naar uw gebruiker op het oorspronkelijke kanaal.

                                                                                                                                                  De KMS-service die wordt uitgevoerd in organisatie A valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw implementatie voor hybride databeveiliging.

                                                                                                                                                  Verwachtingen voor het implementeren van hybride databeveiliging

                                                                                                                                                  Een implementatie van hybride databeveiliging vereist een aanzienlijke klantbetrokkenheid en een bewustzijn van de risico's van het bezit van coderingssleutels.

                                                                                                                                                  Als u hybride databeveiliging wilt implementeren, moet u het volgende opgeven:

                                                                                                                                                  Volledig verlies van de configuratie-ISO die u maakt voor hybride databeveiliging of de database die u levert, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers inhoud van de ruimte en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar alleen nieuwe inhoud is zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

                                                                                                                                                  • De back-up en het herstel van de database en de configuratie-ISO beheren.

                                                                                                                                                  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing in de databaseschijf of een ramp met het datacenter.


                                                                                                                                                   

                                                                                                                                                  Er is geen mechanisme om sleutels na een HDS-implementatie terug naar de cloud te verplaatsen.

                                                                                                                                                  Installatieproces op hoog niveau

                                                                                                                                                  Dit document behandelt het instellen en beheren van een implementatie voor hybride databeveiliging:

                                                                                                                                                  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset gebruikers in de proefmodus en, zodra uw tests zijn voltooid, het verplaatsen naar productie. Hiermee wordt de hele organisatie geconverteerd om uw cluster voor hybride databeveiliging te gebruiken voor beveiligingsfuncties.

                                                                                                                                                    De installatie-, proef- en productiefasen worden in de volgende drie hoofdstukken in detail besproken.

                                                                                                                                                  • Uw implementatie voor hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch voortdurende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig ondersteuning van Cisco inschakelen. U kunt meldingen op het scherm gebruiken en op e-mail gebaseerde waarschuwingen instellen in Control Hub.

                                                                                                                                                  • Algemene waarschuwingen, stappen voor probleemoplossing en bekende problemen begrijpen: als u problemen ondervindt bij het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  In uw bedrijfsdatacenter implementeert u hybride databeveiliging als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

                                                                                                                                                  Tijdens het installatieproces bieden we u het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt monteert. Het cluster Hybride databeveiliging gebruikt de door u geleverde Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de details van de Syslogd- en databaseverbinding in de HDS-installatietool.)

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  Het minimumaantal knooppunten dat u in een cluster kunt hebben is twee. We raden ten minste drie aan en u kunt er maximaal vijf hebben. Als u meerdere knooppunten hebt, wordt de service niet onderbroken tijdens een software-upgrade of andere onderhoudsactiviteit op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

                                                                                                                                                  Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en logboekactiviteit op dezelfde syslog-server. De knooppunten zelf zijn stateloos, en behandelen belangrijke verzoeken in round-robin mode, zoals geregisseerd door de cloud.

                                                                                                                                                  Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt buiten gebruik wilt stellen, kunt u de registratie ongedaan maken en later opnieuw registreren, indien nodig.

                                                                                                                                                  We ondersteunen slechts één cluster per organisatie.

                                                                                                                                                  Proefmodus voor hybride databeveiliging

                                                                                                                                                  Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u dit eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.

                                                                                                                                                  Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de pilootgebruikers en alle gebruikers met wie ze tijdens de proefperiode interactie hebben gehad door nieuwe ruimten te maken, de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.

                                                                                                                                                  Als u ervan overtuigd bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilootgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, bijvoorbeeld om noodherstel uit te voeren, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilootgebruikers voor de nieuwe proefperiode instellen voordat u teruggaat naar de productiemodus. Of gebruikers op dit moment toegang tot gegevens behouden, hangt af van het feit of u back-ups van de sleutelgegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster hebt onderhouden.

                                                                                                                                                  Standby-datacenter voor noodherstel

                                                                                                                                                  Tijdens de implementatie stelt u een beveiligd stand-bydatacenter in. In het geval van een ramp met een datacenter kunt u uw implementatie handmatig overzetten naar het stand-bydatacenter.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Handmatige failover naar stand-bydatacenter

                                                                                                                                                  De databases van de actieve en stand-by datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is om de failover uit te voeren, tot een minimum wordt beperkt. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten zijn geregistreerd bij de organisatie, maar geen verkeer afhandelen. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van de HDS-software.


                                                                                                                                                   

                                                                                                                                                  De actieve knooppunten voor hybride databeveiliging moeten altijd in hetzelfde datacenter zijn als de actieve databaseserver.

                                                                                                                                                  Standby-datacenter instellen voor noodherstel

                                                                                                                                                  Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Het stand-bydatacenter moet de productieomgeving van VM's en een back-up PostgreSQL- of Microsoft SQL Server-database weerspiegelen. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. (Zie Standby Data Center for Disaster Recovery voor een overzicht van dit failovermodel.)

                                                                                                                                                  • Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database met actieve en passieve clusterknooppunten.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.


                                                                                                                                                   

                                                                                                                                                  Het ISO-bestand moet een kopie zijn van het originele ISO-bestand van het primaire datacenter waarop de volgende configuratieupdates moeten worden uitgevoerd.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar wordt er geen verkeer afgehandeld.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslogs om te controleren of de knooppunten zich in de passieve modus bevinden. U moet het bericht 'KMS geconfigureerd in passieve modus' in de syslogs kunnen bekijken.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Na het configureren passiveMode in het ISO-bestand en opslaan, kunt u een andere kopie van het ISO-bestand maken zonder de passiveMode configureren en opslaan op een veilige locatie. Deze kopie van het ISO-bestand zonder passiveMode geconfigureerd kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met behulp van het stand-bydatacenter voor de gedetailleerde failoverprocedure.

                                                                                                                                                  Proxyondersteuning

                                                                                                                                                  Hybride databeveiliging ondersteunt expliciete, transparante en niet-inspecterende proxy's. U kunt deze proxy's aan uw implementatie koppelen zodat u het verkeer van de onderneming naar de cloud kunt beveiligen en bewaken. U kunt een platformbeheerinterface op de knooppunten gebruiken voor certificaatbeheer en om de algehele verbindingsstatus te controleren nadat u de proxy op de knooppunten hebt ingesteld.

                                                                                                                                                  De knooppunten voor hybride databeveiliging ondersteunen de volgende proxyopties:

                                                                                                                                                  • Geen proxy: de standaardinstelling als u de HDS-knooppuntconfiguratie Vertrouwensarchief en proxy niet gebruikt om een proxy te integreren. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante niet-inspecterende proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante tunneling of inspectie van proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP- of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).

                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welk proxyserver- en verificatieschema u moet gebruiken. Als u een expliciete proxy wilt configureren, moet u de volgende informatie op elk knooppunt invoeren:

                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

                                                                                                                                                      • HTTP: geeft alle verzoeken weer die de client verzendt en beheert deze.

                                                                                                                                                      • HTTPS: biedt een kanaal naar de server. De client ontvangt het servercertificaat en valideert het.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar als u HTTPS selecteert als proxyprotocol.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                  Voorbeeld van knooppunten voor hybride databeveiliging en proxy

                                                                                                                                                  In dit diagram ziet u een voorbeeldverbinding tussen hybride databeveiliging, netwerk en een proxy. Voor de opties voor transparante inspectie en HTTPS expliciete inspectie proxy moet hetzelfde hoofdcertificaat worden geïnstalleerd op de proxy en op de knooppunten voor hybride databeveiliging.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus (expliciete proxyconfiguraties)

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. In implementaties met expliciete proxyconfiguraties die geen externe DNS-resolutie voor interne clients toestaan, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie als het knooppunt de DNS-servers niet kan opvragen. In deze modus kunnen knooppuntregistratie en andere proxyverbindingstests worden voortgezet.

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  Vereisten voor hybride databeveiliging

                                                                                                                                                  Vereisten voor Cisco Webex-licenties

                                                                                                                                                  Hybride databeveiliging implementeren:

                                                                                                                                                  Vereisten voor Docker Desktop

                                                                                                                                                  Voordat u uw HDS-knooppunten installeert, hebt u Docker Desktop nodig om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie heeft mogelijk een betaald abonnement voor Docker Desktop nodig. Voor meer informatie raadpleegt u het Docker-blogbericht ' Docker werkt onze productabonnementen bij en verlengt deze ".

                                                                                                                                                  Vereisten voor X.509-certificaten

                                                                                                                                                  De certificaatketen moet aan de volgende vereisten voldoen:

                                                                                                                                                  Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

                                                                                                                                                  Vereiste

                                                                                                                                                  Details

                                                                                                                                                  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

                                                                                                                                                  Standaard vertrouwen we de CA’s in de Mozilla lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Bevat een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

                                                                                                                                                  • Is geen jokercertificaat

                                                                                                                                                  De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die uw organisatie weergeeft, bijvoorbeeld: hds.company.com.

                                                                                                                                                  De algemene naam mag geen * (jokerteken) bevatten.

                                                                                                                                                  De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren bij clients van de Webex-app. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  Zodra u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat kan worden toegepast op zowel de proefperiode- als productie-implementaties.

                                                                                                                                                  • Niet-SHA1 handtekening

                                                                                                                                                  De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

                                                                                                                                                  • Geformatteerd als een met een wachtwoord beveiligd PKCS #12-bestand

                                                                                                                                                  • Gebruik de vriendelijke naam van kms-private-key om het certificaat, de privésleutel en eventuele tussenliggende certificaten te taggen die moeten worden geüpload.

                                                                                                                                                  U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

                                                                                                                                                  U moet het wachtwoord invoeren wanneer u de HDS-installatietool uitvoert.

                                                                                                                                                  De KMS-software dwingt sleutelgebruik of uitgebreide beperkingen voor sleutelgebruik niet af. Sommige certificeringsinstanties vereisen dat uitgebreide belangrijke gebruiksbeperkingen worden toegepast op elk certificaat, zoals serververificatie. U mag de serververificatie of andere instellingen gebruiken.

                                                                                                                                                  Vereisten voor virtuele host

                                                                                                                                                  De virtuele hosts die u instelt als knooppunten voor hybride databeveiliging in uw cluster, hebben de volgende vereisten:

                                                                                                                                                  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich in hetzelfde beveiligde datacenter bevinden

                                                                                                                                                  • VMware ESXi 6.5 (of hoger) geïnstalleerd en actief.


                                                                                                                                                     

                                                                                                                                                    U moet upgraden als u een eerdere versie van ESXi hebt.

                                                                                                                                                  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

                                                                                                                                                  Vereisten voor databaseserver


                                                                                                                                                   

                                                                                                                                                  Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. Wanneer de HDS-toepassingen zijn geïnstalleerd, maakt u het databaseschema.

                                                                                                                                                  Er zijn twee opties voor databaseserver. De vereisten voor elk zijn als volgt:

                                                                                                                                                  Tabel 2. Vereisten databaseserver per type database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

                                                                                                                                                  • SQL Server 2016, 2017 of 2019 (Enterprise of Standard) geïnstalleerd.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL JDBC-stuurprogramma van SQL Server 4.6

                                                                                                                                                  Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover Cluster Instances en Always On availability groups).

                                                                                                                                                  Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

                                                                                                                                                  Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

                                                                                                                                                  • De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

                                                                                                                                                  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees-/schrijftoegang hebben tot de database.

                                                                                                                                                  • De DNS-servers die u aan HDS-knooppunten levert, moeten uw Key Distribution Center (KDC) kunnen oplossen.

                                                                                                                                                  • U kunt de HDS-database-instantie op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een servicenaam registreren voor Kerberos-verbindingen.

                                                                                                                                                    De HDS-installatietool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens van uw ISO-configuratie om de SPN te construeren wanneer ze toegang aanvragen met Kerberos-verificatie.

                                                                                                                                                  Externe connectiviteitsvereisten

                                                                                                                                                  Configureer uw firewall om de volgende verbinding voor de HDS-toepassingen toe te staan:

                                                                                                                                                  App

                                                                                                                                                  Protocol

                                                                                                                                                  Poort

                                                                                                                                                  Richting van app

                                                                                                                                                  Bestemming

                                                                                                                                                  Knooppunten voor hybride databeveiliging

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS en WSS

                                                                                                                                                  • Webex-servers:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • Andere URL's die worden vermeld voor beveiliging van hybride gegevens in de tabel Aanvullende URL's voor hybride Webex-services met netwerkvereisten voor Webex-services

                                                                                                                                                  Hulpprogramma voor HDS-instellingen

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die inkomend zijn naar de knooppunten voor hybride databeveiliging, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients voor beheerdoeleinden toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22.

                                                                                                                                                  De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:

                                                                                                                                                  Regio

                                                                                                                                                  Host-URL's van Common Identity

                                                                                                                                                  Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europese Unie

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Vereisten voor proxyserver

                                                                                                                                                  • We ondersteunen officieel de volgende proxyoplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride databeveiliging.

                                                                                                                                                    • Transparante proxy: Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Expliciete proxy: Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de oprichting van websocket verstoren (wss:) verbindingen. Zie Squid-proxy's configureren voor hybride databeveiliging voor meer informatie over dit probleem.

                                                                                                                                                  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

                                                                                                                                                    • Geen verificatie met HTTP of HTTPS

                                                                                                                                                    • Basisverificatie met HTTP of HTTPS

                                                                                                                                                    • Digestverificatie met alleen HTTPS

                                                                                                                                                  • Voor een transparante inspecterende proxy of een expliciete HTTPS-proxy moet u een kopie hebben van het hoofdcertificaat van de proxy. De implementatie-instructies in deze handleiding vertellen u hoe u de kopie kunt uploaden naar de vertrouwensarchieven van de knooppunten voor hybride databeveiliging.

                                                                                                                                                  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 te dwingen via de proxy te routeren.

                                                                                                                                                  • Proxy's die webverkeer inspecteren, kunnen de verbindingen met de websocket verstoren. Indien dit probleem zich voordoet, verkeer overslaan (niet inspecteren) naar wbx2.com en ciscospark.com zal het probleem oplossen.

                                                                                                                                                  Voldoen aan de vereisten voor hybride databeveiliging

                                                                                                                                                  Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
                                                                                                                                                  1

                                                                                                                                                  Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en ontvang de referenties van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

                                                                                                                                                  2

                                                                                                                                                  Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  3

                                                                                                                                                  Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt ten minste twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter zijn geplaatst en voldoen aan de vereisten in Vereisten voor virtuele host.

                                                                                                                                                  4

                                                                                                                                                  Bereid de databaseserver voor die zal fungeren als de belangrijkste gegevensopslag voor het cluster, overeenkomstig de vereisten voor de databaseserver. De databaseserver moet samen met de virtuele hosts in het beveiligde datacenter worden geplaatst.

                                                                                                                                                  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik de standaarddatabase niet. De HDS-toepassingen maken het databaseschema wanneer ze zijn geïnstalleerd.)

                                                                                                                                                  2. Verzamel de gegevens die de knooppunten gebruiken om met de databaseserver te communiceren:

                                                                                                                                                    • de hostnaam of het IP-adres (host) en de poort

                                                                                                                                                    • de naam van de database (dbname) voor key storage

                                                                                                                                                    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de database met sleutelopslag

                                                                                                                                                  5

                                                                                                                                                  Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben.

                                                                                                                                                  6

                                                                                                                                                  Stel een Syslog-host in om logboeken te verzamelen van de knooppunten in het cluster. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Maak een veilig back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.


                                                                                                                                                   

                                                                                                                                                  Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die worden gebruikt voor codering en decodering van inhoud, leidt het niet onderhouden van een operationele implementatie tot het ONHERSTELBARE VERLIES van die inhoud.

                                                                                                                                                  Clients van de Webex-app brengen hun sleutels in de cache, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen niet te voorkomen zijn, kunnen ze worden hersteld. Volledig verlies (geen back-ups beschikbaar) van de database of het ISO-configuratiebestand leidt echter tot niet-herstelbare klantgegevens. Van de beheerders van de knooppunten voor hybride databeveiliging wordt verwacht dat ze regelmatig back-ups van de database en het configuratie-ISO-bestand onderhouden, en dat ze bereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als er een catastrofale storing optreedt.

                                                                                                                                                  8

                                                                                                                                                  Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw hybride databeveiligingsknooppunten mogelijk maakt, zoals beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  9

                                                                                                                                                  Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft tot het besturingssysteem op http://127.0.0.1:8080.

                                                                                                                                                  U gebruikt het Docker-exemplaar om de HDS-installatietool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratie-informatie op voor alle knooppunten voor hybride databeveiliging. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker Desktop voor meer informatie.

                                                                                                                                                  Om de HDS-setuptool te installeren en uit te voeren, moet de lokale machine de connectiviteit hebben die wordt beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  10

                                                                                                                                                  Als u een proxy integreert met hybride databeveiliging, moet u ervoor zorgen dat deze voldoet aan de vereisten voor de proxyserver.

                                                                                                                                                  11

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, maakt u een groep in Active Directory met de naam HdsTrialGroup en pilootgebruikers toevoegen. De proefgroep kan maximaal 250 gebruikers hebben. Het HdsTrialGroup object moet worden gesynchroniseerd met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Als u een groepsobject wilt synchroniseren, selecteert u het in de van de directoryconnector Configuratie > menu Objectselectie. (Zie de Implementatiehandleiding voor Cisco Directoryconnector voor gedetailleerde instructies.)


                                                                                                                                                   

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Houd er bij het selecteren van pilootgebruikers rekening mee dat als u besluit de implementatie voor hybride databeveiliging permanent te deactiveren, alle gebruikers geen toegang meer hebben tot inhoud in de ruimten die door de pilootgebruikers zijn gemaakt. Het verlies wordt duidelijk zodra de apps van gebruikers hun in de cache opgeslagen kopieën van de inhoud vernieuwen.

                                                                                                                                                  Een cluster voor hybride databeveiliging instellen

                                                                                                                                                  Taakstroom implementatie hybride databeveiliging

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  1

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  Download het OVA-bestand naar uw lokale computer voor later gebruik.

                                                                                                                                                  2

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Gebruik de HDS-installatietool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Maak een virtuele machine vanuit het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  4

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd ten tijde van de OVA-implementatie.

                                                                                                                                                  5

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  6

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u indien nodig het proxycertificaat toe aan het vertrouwensarchief.

                                                                                                                                                  7

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Registreer de VM bij de Cisco Webex-cloud als een knooppunt voor hybride databeveiliging.

                                                                                                                                                  8

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Voltooi de clusterinstelling.

                                                                                                                                                  9

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)

                                                                                                                                                  Totdat u een proefperiode start, genereren uw knooppunten een alarm dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). Je gebruikt dit bestand later in het installatieproces.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en klik vervolgens op Services.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik vervolgens op Instellen.

                                                                                                                                                  Als de kaart is uitgeschakeld of u deze niet ziet, neemt u contact op met uw accountteam of uw partnerorganisatie. Geef uw accountnummer en vraag of u uw organisatie wilt inschakelen voor hybride databeveiliging. Als u het accountnummer wilt vinden, klikt u op het tandwiel rechtsboven naast de naam van uw organisatie.


                                                                                                                                                   

                                                                                                                                                  U kunt de OVA ook op elk gewenst moment downloaden via het gedeelte Help op de pagina Instellingen. Klik op de kaart Hybride databeveiliging op Instellingen bewerken om de pagina te openen. Klik vervolgens op Hybride databeveiligingssoftware downloaden in het gedeelte Help.


                                                                                                                                                   

                                                                                                                                                  Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de nieuwste versie van het OVA-bestand downloadt.

                                                                                                                                                  3

                                                                                                                                                  Selecteer Nee om aan te geven dat u het knooppunt nog niet hebt ingesteld en klik vervolgens op Volgende.

                                                                                                                                                  Het OVA-bestand begint automatisch te downloaden. Sla het bestand op een locatie op uw computer op.
                                                                                                                                                  4

                                                                                                                                                  U kunt ook op Implementatiehandleiding openen klikken om te controleren of er een latere versie van deze handleiding beschikbaar is.

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Het installatieproces voor hybride databeveiliging maakt een ISO-bestand. Vervolgens gebruikt u de ISO om uw host voor hybride databeveiliging te configureren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5 opent. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de nieuwste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals:

                                                                                                                                                    • Aanmeldgegevens database

                                                                                                                                                    • Certificaatupdates

                                                                                                                                                    • Wijzigingen in het autorisatiebeleid

                                                                                                                                                  • Als u databaseverbindingen wilt versleutelen, stelt u uw PostgreSQL- of SQL Server-implementatie voor TLS in.

                                                                                                                                                  1

                                                                                                                                                  Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Met deze stap worden eerdere afbeeldingen van het HDS-configuratieprogramma opgeschoond. Als er geen eerdere afbeeldingen zijn, wordt een fout geretourneerd die u kunt negeren.

                                                                                                                                                  2

                                                                                                                                                  Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download de nieuwste stabiele installatiekopie voor uw omgeving:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                  • In normale omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  Gebruik een webbrowser om naar de localhost te gaan http://127.0.0.1:8080 en voer de gebruikersnaam van de klantbeheerder voor Control Hub in de prompt in.

                                                                                                                                                  De tool gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Het hulpprogramma geeft vervolgens de standaard aanmeldingsprompt weer.

                                                                                                                                                  7

                                                                                                                                                  Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de Control Hub-klantbeheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

                                                                                                                                                  8

                                                                                                                                                  Klik op de overzichtspagina van de installatietool op Aan de slag.

                                                                                                                                                  9

                                                                                                                                                  Op de pagina ISO Import hebt u de volgende opties:

                                                                                                                                                  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
                                                                                                                                                  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de browse en uploadt u het.
                                                                                                                                                  10

                                                                                                                                                  Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  • Als u nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat OK is, klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat is verlopen of als u het wilt vervangen, selecteert u Nee voor Doorgaan met gebruik van HDS-certificaatketen en privésleutel uit vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
                                                                                                                                                  11

                                                                                                                                                  Voer het databaseadres en het account voor HDS in om toegang te krijgen tot uw belangrijke gegevensopslag:

                                                                                                                                                  1. Selecteer uw Database Type (PostgreSQL of Microsoft SQL Server).

                                                                                                                                                    Als u Microsoft SQL Server kiest, krijgt u een veld Verificatietype.

                                                                                                                                                  2. (Alleen Microsoft SQL Server) Selecteer uw verificatietype:

                                                                                                                                                    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam.

                                                                                                                                                    • Windows-verificatie: U hebt een Windows-account in de indeling nodig username@DOMAIN in het veld Gebruikersnaam.

                                                                                                                                                  3. Voer het adres van de databaseserver in het formulier in <hostname>:<port> of <IP-address>:<port>.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    dbhost.example.org:1433 of 198.51.100.17:1433

                                                                                                                                                    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

                                                                                                                                                    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

                                                                                                                                                  4. Voer de databasenaam in.

                                                                                                                                                  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten in de database voor sleutelopslag.

                                                                                                                                                  12

                                                                                                                                                  Selecteer een TLS-databaseverbindingsmodus:

                                                                                                                                                  Mode

                                                                                                                                                  Beschrijving

                                                                                                                                                  Voorkeur voor TLS (standaardoptie)

                                                                                                                                                  Voor HDS-knooppunten is geen TLS vereist om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

                                                                                                                                                  TLS vereisen

                                                                                                                                                  HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  TLS vereisen en certificaatondertekenaar verifiëren


                                                                                                                                                   

                                                                                                                                                  Deze modus is niet van toepassing op SQL Server-databases.

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik de hoofdcertificaat van database control onder de vervolgkeuzelijst om het hoofdcertificaat voor deze optie te uploaden.

                                                                                                                                                  TLS vereisen en certificaatondertekenaar en hostnaam verifiëren

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databasehost en -poort. De namen moeten exact overeenkomen, anders verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik de hoofdcertificaat van database control onder de vervolgkeuzelijst om het hoofdcertificaat voor deze optie te uploaden.

                                                                                                                                                  Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-installatietool de TLS-verbinding met de databaseserver. Het hulpprogramma verifieert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, geeft het hulpprogramma een foutmelding waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en wilt doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de HDS-installatietool niet met succes kan worden getest.)

                                                                                                                                                  13

                                                                                                                                                  Configureer uw Syslogd-server op de pagina Systeemlogboeken:

                                                                                                                                                  1. Voer de URL van de syslog-server in.

                                                                                                                                                    Als de server niet DNS-oplosbaar is vanuit de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij Syslogd-host 10.92.43.23 op UDP-poort 514.
                                                                                                                                                  2. Als u uw server instelt om TLS-codering te gebruiken, controleert u Is uw syslog-server geconfigureerd voor SSL-codering?.

                                                                                                                                                    Als u dit selectievakje inschakelt, moet u een TCP-URL invoeren, zoals tcp://10.92.43.23:514.

                                                                                                                                                  3. Kies in de vervolgkeuzelijst Beëindiging syslog-record kiezen de juiste instelling voor uw ISO-bestand: Kies of Newline wordt gebruikt voor Graylog en Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Selecteer deze keuze voor Graylog en Rsyslog TCP.

                                                                                                                                                  4. Klik op Doorgaan.

                                                                                                                                                  14

                                                                                                                                                  (Optioneel) U kunt de standaardwaarde voor bepaalde parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u wilt wijzigen:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik op Doorgaan op het scherm Wachtwoord serviceaccounts opnieuw instellen.

                                                                                                                                                  Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u wilt deze opnieuw instellen om eerdere ISO-bestanden ongeldig te maken.

                                                                                                                                                  16

                                                                                                                                                  Klik op ISO-bestand downloaden. Sla het bestand op een gemakkelijk te vinden locatie op.

                                                                                                                                                  17

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem.

                                                                                                                                                  Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  18

                                                                                                                                                  Als u het installatieprogramma wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten voor herstel te maken of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het herstellen van de sleutels uit uw PostgreSQL- of Microsoft SQL Server-database is niet mogelijk.


                                                                                                                                                   

                                                                                                                                                  We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze kwijtraakt.

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Gebruik deze procedure om een virtuele machine te maken vanuit het OVA-bestand.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

                                                                                                                                                  2

                                                                                                                                                  Selecteer File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

                                                                                                                                                  4

                                                                                                                                                  Op de Selecteer een naam en map pagina, voer een in Naam virtuele machine voor het knooppunt (bijvoorbeeld 'HDS_Node_1') kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Op de Een computerbron selecteren pagina, kies de bestemming compute resource en klik vervolgens op Volgende.

                                                                                                                                                  Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloondetails weergegeven.

                                                                                                                                                  6

                                                                                                                                                  Controleer de sjabloondetails en klik op Volgende.

                                                                                                                                                  7

                                                                                                                                                  Als u wordt gevraagd de resourceconfiguratie te kiezen op de Configuratie pagina, klik op 4 CPU en klik vervolgens op Volgende.

                                                                                                                                                  8

                                                                                                                                                  Op de Selecteer opslag pagina, klik op Volgende om de standaard schijfindeling en het VM-opslagbeleid te accepteren.

                                                                                                                                                  9

                                                                                                                                                  Op de Selecteer netwerken-pagina, kies de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

                                                                                                                                                  10

                                                                                                                                                  Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen:

                                                                                                                                                  • Hostnaam: voer de FQDN (hostnaam en domein) of een hostnaam met één woord in voor het knooppunt.

                                                                                                                                                     
                                                                                                                                                    • U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                    • Als u een succesvolle registratie bij de cloud wilt garanderen, gebruikt u alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld. Kapitalisatie wordt momenteel niet ondersteund.

                                                                                                                                                    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

                                                                                                                                                  • IP-adres— Voer het IP-adres in voor de interne interface van het knooppunt.

                                                                                                                                                     

                                                                                                                                                    Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  • Masker: voer het adres van het subnetmasker in de punt-decimale notatie in. Bijvoorbeeld 255.255.255.0.
                                                                                                                                                  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat als toegangspunt dient voor een ander netwerk.
                                                                                                                                                  • DNS-servers: voer een door komma's gescheiden lijst met DNS-servers in, die domeinnamen vertalen naar numerieke IP-adressen. (Maximaal 4 DNS-vermeldingen zijn toegestaan.)
                                                                                                                                                  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die in uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
                                                                                                                                                  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster bereikbaar zijn vanaf clients in uw netwerk voor administratieve doeleinden.

                                                                                                                                                  Indien gewenst kunt u de configuratie van de netwerkinstellingen overslaan en de stappen volgen in De hybride databeveiliging VM instellen om de instellingen vanaf de knooppuntconsole te configureren.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  11

                                                                                                                                                  Klik met de rechtermuisknop op het knooppunt VM en kies Voeding > Voeding aan.

                                                                                                                                                  De software voor hybride databeveiliging is geïnstalleerd als gast op de VM-host. U kunt zich nu aanmelden bij de console en het knooppunt configureren.

                                                                                                                                                  Tips voor het oplossen van problemen

                                                                                                                                                  U kunt een vertraging van een paar minuten ervaren voordat de knooppuntcontainers naar boven komen. Er verschijnt een brugfirewallbericht op de console tijdens de eerste keer opstarten, tijdens welke u zich niet kunt aanmelden.

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

                                                                                                                                                  1

                                                                                                                                                  Selecteer in de VMware vSphere-client uw knooppunt voor hybride databeveiliging VM en selecteer het tabblad Console.

                                                                                                                                                  De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldprompt niet wordt weergegeven, drukt u op Enter.
                                                                                                                                                  2

                                                                                                                                                  Gebruik de volgende standaardaanmelding en het volgende wachtwoord om u aan te melden en de aanmeldgegevens te wijzigen:

                                                                                                                                                  1. Aanmelden: admin

                                                                                                                                                  2. Wachtwoord: cisco

                                                                                                                                                  Aangezien u zich voor de eerste keer aanmeldt bij uw VM, moet u het beheerderswachtwoord wijzigen.

                                                                                                                                                  3

                                                                                                                                                  Als u de netwerkinstellingen al hebt geconfigureerd in Install the HDS Host OVA, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken.

                                                                                                                                                  4

                                                                                                                                                  Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  5

                                                                                                                                                  (Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om aan uw netwerkbeleid te voldoen.

                                                                                                                                                  U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                  6

                                                                                                                                                  Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen van kracht worden.

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Omdat het ISO-bestand de hoofdsleutel bevat, mag het alleen worden blootgesteld op een 'need to know'-basis, voor toegang door de VM's voor hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen die beheerders toegang hebben tot de gegevensopslag.

                                                                                                                                                  1

                                                                                                                                                  Upload het ISO-bestand vanaf uw computer:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

                                                                                                                                                  2. Klik in de hardwarelijst van het tabblad Configuratie op Opslag.

                                                                                                                                                  3. Klik in de lijst Datastores met de rechtermuisknop op de datastore voor uw VM's en klik op Browse Datastore.

                                                                                                                                                  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

                                                                                                                                                  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

                                                                                                                                                  6. Klik op Ja om de waarschuwing voor de upload-/downloadbewerking te accepteren en sluit het dialoogvenster Gegevensopslag.

                                                                                                                                                  2

                                                                                                                                                  Koppel het ISO-bestand:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  2. Klik op OK om de waarschuwing voor beperkte bewerkingsopties te accepteren.

                                                                                                                                                  3. Klikken CD/DVD Drive 1, selecteer de optie om te koppelen vanuit een ISO-bestand voor de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

                                                                                                                                                  4. Controleer Connected en Connect bij ingeschakeld contact.

                                                                                                                                                  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als uw IT-beleid dit vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride databeveiliging. Als u een transparante inspecterende proxy of een expliciete HTTPS-proxy kiest, kunt u de interface van het knooppunt gebruiken om het hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding controleren vanuit de interface en mogelijke problemen oplossen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  1

                                                                                                                                                  Voer de URL voor het instellen van het HDS-knooppunt in https://[HDS Node IP or FQDN]/setup voer in een webbrowser de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Trust Store & Proxy en kies een optie:

                                                                                                                                                  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante niet-inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om met een niet-inspecterende proxy te werken. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTPS-configuratiewijzigingen nodig voor de implementatie van hybride databeveiliging. De HDS-knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).
                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de client (HDS-knooppunten) aan welke proxyserver moet worden gebruikt. Deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: kies http (bekijkt en beheert alle aanvragen die van de client worden ontvangen) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar voor HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                  Volg de volgende stappen voor een transparante inspecterende proxy, een expliciete HTTP-proxy met basisverificatie of een expliciete HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik op Upload a Root Certificate or End Entity Certificate (Een hoofdcertificaat uploaden of een entiteitscertificaat beëindigen) en navigeer vervolgens naar een hoofdcertificaat voor de proxy kiezen.

                                                                                                                                                  Het certificaat is geüpload maar nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijl van de chevron bij de naam van de certificaatverstrekker voor meer informatie of klik op Verwijderen als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

                                                                                                                                                  Als de verbindingstest mislukt, ziet u een foutbericht met de reden en hoe u het probleem kunt oplossen.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken. Deze voorwaarde wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de modus Geblokkeerde externe DNS-resolutie. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u Geblokkeerde externe DNS-resolutiemodus uitschakelen.

                                                                                                                                                  5

                                                                                                                                                  Nadat de verbindingstest is verlopen en de expliciete proxy alleen is ingesteld op https, schakelt u de schakelaar in op Alle poort 443/444-https-verzoeken van dit knooppunt routeren via de expliciete proxy. Deze instelling heeft 15 seconden nodig om van kracht te worden.

                                                                                                                                                  6

                                                                                                                                                  Klik op Alle certificaten installeren in de Trust Store (wordt weergegeven voor een expliciete HTTPS-proxy of een transparante inspecterende proxy) of Opnieuw opstarten (wordt weergegeven voor een expliciete HTTP-proxy), lees de prompt en klik vervolgens op Installeren als u klaar bent.

                                                                                                                                                  Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

                                                                                                                                                  7

                                                                                                                                                  Nadat het knooppunt opnieuw is opgestart, meldt u zich indien nodig opnieuw aan en opent u de pagina Overzicht om de connectiviteitscontroles te controleren en ervoor te zorgen dat ze allemaal groen zijn.

                                                                                                                                                  Met de proxyverbindingscontrole wordt alleen een subdomein van webex.com getest. Als er verbindingsproblemen zijn, is een algemeen probleem dat sommige van de clouddomeinen die in de installatie-instructies worden vermeld, worden geblokkeerd bij de proxy.

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Voor deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in de Hybride databeveiliging VM instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

                                                                                                                                                  Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd om redundantie te bieden.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Selecteer Services in het menu links op het scherm.

                                                                                                                                                  3

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellen.

                                                                                                                                                  De pagina Knooppunt voor hybride databeveiliging registreren wordt weergegeven.
                                                                                                                                                  4

                                                                                                                                                  Selecteer Ja om aan te geven dat u het knooppunt hebt ingesteld en klaar bent om het te registreren. Klik vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Voer in het eerste veld een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

                                                                                                                                                  We raden u aan een cluster een naam te geven op basis van waar de knooppunten van het cluster zich geografisch bevinden. Voorbeelden: "San Francisco" of "New York" of "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                  Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein dat u hebt gebruikt in De VM voor hybride databeveiliging instellen.

                                                                                                                                                  Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik op Ga naar knooppunt.

                                                                                                                                                  8

                                                                                                                                                  Klik in het waarschuwingsbericht op Doorgaan.

                                                                                                                                                  Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  9

                                                                                                                                                  Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                  Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  10

                                                                                                                                                  Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Op de pagina Hybride databeveiliging wordt het nieuwe cluster weergegeven met het knooppunt dat u hebt geregistreerd. Het knooppunt downloadt automatisch de nieuwste software vanuit de cloud.

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Als u extra knooppunten aan uw cluster wilt toevoegen, maakt u gewoon extra VM's en monteert u hetzelfde configuratie-ISO-bestand en registreert u het knooppunt. We raden u aan ten minste 3 knooppunten te hebben.

                                                                                                                                                   

                                                                                                                                                  Op dit moment zijn de back-up-VM's die u hebt gemaakt in Voldoen aan de vereisten voor hybride databeveiliging stand-byhosts die alleen worden gebruikt in het geval van noodherstel. Ze zijn tot die tijd niet geregistreerd bij het systeem. Zie Noodherstel met behulp van het stand-bydatacenter voor meer informatie.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Maak een nieuwe virtuele machine vanuit de OVA en herhaal de stappen in Installeer de HDS-host-OVA.

                                                                                                                                                  2

                                                                                                                                                  Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De hybride databeveiliging instellen.

                                                                                                                                                  3

                                                                                                                                                  Herhaal op de nieuwe VM de stappen in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Configureer het HDS-knooppunt voor proxyintegratie indien nodig voor het nieuwe knooppunt.

                                                                                                                                                  5

                                                                                                                                                  Registreer het knooppunt.

                                                                                                                                                  1. Selecteer in https://admin.webex.comServices in het menu links op het scherm.

                                                                                                                                                  2. Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik op Resources.

                                                                                                                                                    De pagina Resources voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3. Klik op Resource toevoegen.

                                                                                                                                                  4. Selecteer in het eerste veld de naam van uw bestaande cluster.

                                                                                                                                                  5. Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                    Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex-cloud.
                                                                                                                                                  6. Klik op Ga naar knooppunt.

                                                                                                                                                    Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u machtigingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Uw knooppunt is geregistreerd. Houd er rekening mee dat totdat u een proefperiode start, uw knooppunten een alarm genereren dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)
                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie

                                                                                                                                                  Doorstroom proefperiode naar productietaak

                                                                                                                                                  Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers toevoegen en deze gaan gebruiken om uw implementatie te testen en te verifiëren ter voorbereiding op de overgang naar productie.

                                                                                                                                                  1

                                                                                                                                                  Indien van toepassing, synchroniseer de HdsTrialGroup groepsobject.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  2

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd.

                                                                                                                                                  3

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Controleer of belangrijke aanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Controleer de status en stel e-mailmeldingen in voor alarmen.

                                                                                                                                                  5

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  6

                                                                                                                                                  Voltooi de onderzoeksfase met een van de volgende acties:

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Proefperiode starten.

                                                                                                                                                  De servicestatus verandert in de proefmodus.
                                                                                                                                                  4

                                                                                                                                                  Klik op Gebruikers toevoegen en voer het e-mailadres van een of meer gebruikers in om uw knooppunten voor hybride databeveiliging te gebruiken voor codering- en indexeringsservices.

                                                                                                                                                  (Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory om de testgroep te beheren, HdsTrialGroup.)

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging te testen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Stel uw implementatie voor hybride databeveiliging in.

                                                                                                                                                  • Activeer de proefperiode en voeg verschillende proefgebruikers toe.

                                                                                                                                                  • Zorg ervoor dat u toegang hebt tot de syslog om te controleren of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilootgebruikers en maak vervolgens een ruimte en nodig ten minste één pilootgebruiker en één niet-pilootgebruiker uit.


                                                                                                                                                   

                                                                                                                                                  Als u de implementatie van hybride databeveiliging deactiveert, is inhoud in ruimten die pilootgebruikers maken niet meer toegankelijk zodra de in de client opgeslagen kopieën van de coderingssleutels zijn vervangen.

                                                                                                                                                  2

                                                                                                                                                  Verzend berichten naar de nieuwe ruimte.

                                                                                                                                                  3

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de sleutelaanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1. Als u wilt controleren of een gebruiker eerst een veilig kanaal naar de KMS heeft ingesteld, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden, zoals de volgende (identificatiegegevens ingekort voor leesbaarheid):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om te controleren of een gebruiker een bestaande sleutel van het KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Om te controleren of een gebruiker een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Als u wilt controleren of een gebruiker die het maken van een nieuw KMS Resource Object (KRO) aanvraagt wanneer een ruimte of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Een statusindicator in Control Hub geeft aan of alles goed gaat met de implementatie van hybride databeveiliging. Meld u aan voor e-mailmeldingen voor meer proactieve waarschuwingen. U krijgt een melding wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
                                                                                                                                                  1

                                                                                                                                                  Selecteer in Control HubServices in het menu links op het scherm.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellingen.

                                                                                                                                                  De pagina Instellingen voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3

                                                                                                                                                  Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen gescheiden door komma's en druk op Enter.

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  Nadat u een proefperiode hebt geactiveerd en de eerste set proefgebruikers hebt toegevoegd, kunt u op elk gewenst moment leden van de proefperiode toevoegen of verwijderen terwijl de proefperiode actief is.

                                                                                                                                                  Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker om sleutels en sleutels te maken vanuit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die is opgeslagen op uw KMS, zal de cloud-KMS deze namens de gebruiker ophalen.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep te beheren, HdsTrialGroup; u kunt de groepsleden weergeven in Control Hub, maar ze niet toevoegen of verwijderen.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Proefmodus van het gebied Servicestatus op Gebruikers toevoegen of klik op weergeven en bewerken om gebruikers uit de proefperiode te verwijderen.

                                                                                                                                                  4

                                                                                                                                                  Voer het e-mailadres in van een of meer gebruikers die u wilt toevoegen of klik op de X met een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan .

                                                                                                                                                  Overstappen van proefperiode naar productie

                                                                                                                                                  Als u er zeker van bent dat uw implementatie goed werkt voor de gebruikers van de proefperiode, kunt u overgaan naar productie. Wanneer u overgaat naar productie, gebruiken alle gebruikers in de organisatie uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. U kunt niet teruggaan naar de proefmodus vanuit de productie, tenzij u de service deactiveert als onderdeel van noodherstel. Als u de service opnieuw activeert, moet u een nieuwe proefperiode instellen.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Verplaatsen naar productie.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u al uw gebruikers naar de productie wilt verplaatsen.

                                                                                                                                                  Uw proefperiode beëindigen zonder over te stappen naar productie

                                                                                                                                                  Als u tijdens uw proefperiode besluit om niet door te gaan met uw implementatie van Hybride databeveiliging, kunt u Hybride databeveiliging deactiveren. Hiermee wordt de proefperiode beëindigd en worden de proefgebruikers weer verplaatst naar de cloudservices voor databeveiliging. De gebruikers van de proefperiode verliezen toegang tot de gegevens die tijdens de proefperiode zijn gecodeerd.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Deactiveren op Deactiveren.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u de service wilt deactiveren en beëindig de proefperiode.

                                                                                                                                                  Uw HDS-implementatie beheren

                                                                                                                                                  HDS-implementatie beheren

                                                                                                                                                  Gebruik de taken die hier worden beschreven om uw implementatie voor hybride databeveiliging te beheren.

                                                                                                                                                  Upgradeschema voor cluster instellen

                                                                                                                                                  Software-upgrades voor hybride databeveiliging worden automatisch uitgevoerd op clusterniveau, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens het upgradeschema voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie om de cluster handmatig te upgraden vóór de geplande upgradetijd. U kunt een specifiek upgradeschema instellen of het standaardschema van 3:00 AM Daily Verenigde Staten gebruiken: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

                                                                                                                                                  De upgradeplanning instellen:

                                                                                                                                                  1

                                                                                                                                                  Meld u aan Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Klik op de pagina Overzicht onder Hybride services op Hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Selecteer het cluster op de pagina Resources voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Selecteer in het deelvenster Overzicht aan de rechterkant onder Clusterinstellingen de clusternaam.

                                                                                                                                                  5

                                                                                                                                                  Selecteer op de pagina Instellingen onder Upgraden de tijd en tijdzone voor het upgradeschema.

                                                                                                                                                  Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen naar de volgende dag door op Uitstellen te klikken.

                                                                                                                                                  De knooppuntconfiguratie wijzigen

                                                                                                                                                  Soms moet u de configuratie van uw Hybrid Data Security-knooppunt wijzigen om een reden zoals:
                                                                                                                                                  • x.509-certificaten wijzigen vanwege verlopen of andere redenen.


                                                                                                                                                     

                                                                                                                                                    We ondersteunen het wijzigen van de CN- domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om het cluster te registreren.

                                                                                                                                                  • Database-instellingen bijwerken om te wijzigen in een replica van de PostgreSQL- of Microsoft SQL Server-database.


                                                                                                                                                     

                                                                                                                                                    We bieden geen ondersteuning voor het migreren van gegevens van PostgreSQL naar Microsoft SQL Server, of andersom. Als u de databaseomgeving wilt wijzigen, start u een nieuwe implementatie van Hybrid Data Security.

                                                                                                                                                  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

                                                                                                                                                  Om veiligheidsredenen gebruikt hybride databeveiliging serviceaccountwachtwoorden die elke 9 maanden worden gewijzigd. De HDS-setuptool genereert deze wachtwoorden en u implementeert ze in uw HDS-knooppunten als onderdeel van het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een 'kennisgeving van het verlopen van uw wachtwoord' van het Webex-team, waarin u wordt gevraagd het wachtwoord van uw machineaccount opnieuw in te stellen. (De e-mail bevat de tekst 'Gebruik de computeraccount- API om het wachtwoord bij te werken.') Als uw wachtwoorden nog niet zijn verlopen, biedt het hulpprogramma u twee opties:

                                                                                                                                                  • Zachte reset —De oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO -bestand op de knooppunten geleidelijk te vervangen.

                                                                                                                                                  • Harde reset —De oude wachtwoorden werken onmiddellijk niet meer.

                                                                                                                                                  Als uw wachtwoorden verlopen zonder een reset, heeft dit gevolgen voor uw HDS-service, waardoor een onmiddellijke harde reset en vervanging van het ISO -bestand op alle knooppunten nodig is.

                                                                                                                                                  Gebruik deze procedure om een nieuw ISO -configuratiebestand te genereren en dit toe te passen op uw cluster.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen bij het weergeven van de Docker-container in 1.e. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel die de PostgreSQL- of Microsoft SQL Server-database versleutelt. U hebt de ISO nodig wanneer u configuratiewijzigingen aanbrengt, inclusief databasereferenties, certificaatupdates of wijzigingen in het autorisatiebeleid.

                                                                                                                                                  1

                                                                                                                                                  Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

                                                                                                                                                  1. Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Met deze stap worden eerdere afbeeldingen van het HDS-configuratieprogramma opgeschoond. Als er geen eerdere afbeeldingen zijn, wordt een fout geretourneerd die u kunt negeren.

                                                                                                                                                  2. Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download de nieuwste stabiele installatiekopie voor uw omgeving:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 beschikken niet over de schermen voor het opnieuw instellen van wachtwoorden.

                                                                                                                                                  5. Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                    • In normale omgevingen zonder een proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'.

                                                                                                                                                  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  7. Wanneer u hierom wordt gevraagd, voert u uw -klantaanmeldgegevens in en klikt u vervolgens op Accepteren om door te gaan.

                                                                                                                                                  8. Importeer het huidige ISO-configuratiebestand.

                                                                                                                                                  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

                                                                                                                                                    Als u het installatieprogramma wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

                                                                                                                                                  2

                                                                                                                                                  Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor het -knooppunt en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

                                                                                                                                                  1. Installeer de HDS-host-OVA.

                                                                                                                                                  2. Stel de HDS-VM in.

                                                                                                                                                  3. Koppel het bijgewerkte configuratiebestand.

                                                                                                                                                  4. Registreer het nieuwe knooppunt in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Koppel het ISO -bestand voor bestaande HDS-knooppunten waarop het oudere configuratiebestand wordt uitgevoerd. Voer de volgende procedure uit op elk knooppunt en werk elk knooppunt bij voordat u het volgende knooppunt uitschakelt:

                                                                                                                                                  1. Schakel de virtuele machine uit.

                                                                                                                                                  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  3. Klikken CD/DVD Drive 1 Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

                                                                                                                                                  4. Schakel het selectievakje Verbinding maken na inschakelen in.

                                                                                                                                                  5. Sla uw wijzigingen op en schakel de virtuele machine in.

                                                                                                                                                  4

                                                                                                                                                  Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus uitschakelen

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. Als de DNS-server van het knooppunt geen openbare DNS-namen kan oplossen, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie.

                                                                                                                                                  Als uw knooppunten openbare DNS-namen kunnen oplossen via interne DNS-servers, kunt u deze modus uitschakelen door de proxyverbindingstest op elk knooppunt opnieuw uit te voeren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Zorg ervoor dat uw interne DNS-servers openbare DNS-namen kunnen oplossen en dat uw knooppunten met hen kunnen communiceren.
                                                                                                                                                  1

                                                                                                                                                  Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/instellingen, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Overzicht (de standaardpagina).

                                                                                                                                                  Indien ingeschakeld, Geblokkeerde externe DNS omzetting is ingesteld op Ja .

                                                                                                                                                  3

                                                                                                                                                  Ga naar de pagina Vertrouwensarchief & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken en blijft deze modus actief. Anders moet de geblokkeerde externe DNS-resolutie worden ingesteld op nee nadat u het knooppunt opnieuw hebt opgestart en teruggaat naar de pagina Overzicht.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Herhaal de proxyverbindingstest op elk knooppunt in uw cluster voor hybride databeveiliging.

                                                                                                                                                  Een knooppunt verwijderen

                                                                                                                                                  Gebruik deze procedure om een knooppunt voor hybride databeveiliging uit de Webex-cloud te verwijderen. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en de virtuele machine uit te schakelen.

                                                                                                                                                  2

                                                                                                                                                  Verwijder het knooppunt:

                                                                                                                                                  1. Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources voor hybride databeveiliging weer te geven.

                                                                                                                                                  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

                                                                                                                                                  4. Klik op Knooppuntenlijst openen.

                                                                                                                                                  5. Selecteer op het tabblad Knooppunten het knooppunt dat u wilt verwijderen.

                                                                                                                                                  6. Klik op Acties > Knooppunt uitschrijven.

                                                                                                                                                  3

                                                                                                                                                  Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

                                                                                                                                                  Als u de VM niet verwijdert, moet u het ISO-configuratiebestand loskoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken om toegang te krijgen tot uw beveiligingsgegevens.

                                                                                                                                                  Noodherstel met behulp van het stand-bydatacenter

                                                                                                                                                  De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt voor het coderen van berichten en andere inhoud die in de Webex-cloud is opgeslagen. Voor elke gebruiker binnen de organisatie die is toegewezen aan hybride databeveiliging, worden nieuwe aanvragen voor het maken van sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de sleutels die zijn gemaakt aan gebruikers die bevoegd zijn om ze op te halen, bijvoorbeeld leden van een gespreksruimte.

                                                                                                                                                  Omdat het cluster de kritieke functie van het leveren van deze sleutels vervult, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden behouden. Verlies van de database met hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van inhoud van de klant. De volgende praktijken zijn verplicht om een dergelijk verlies te voorkomen:

                                                                                                                                                  Als door een calamiteit de HDS-implementatie in het primaire datacenter niet meer beschikbaar is, volgt u deze procedure om handmatig te failover te gaan naar het stand-bydatacenter.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe of verwijder de passiveMode configuratie om het knooppunt actief te maken. Het knooppunt kan het verkeer afhandelen zodra dit is geconfigureerd.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de knooppunten van het stand-bydatacenter zich niet in de passieve modus bevinden. 'KMS geconfigureerd in de passieve modus' mag niet worden weergegeven in de syslogs.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als het primaire datacenter na failover weer actief wordt, plaatst u het stand-bydatacenter opnieuw in de passieve modus door de stappen te volgen die worden beschreven in Setup Standby Data Center for Disaster Recovery.

                                                                                                                                                  (Optioneel) ISO loskoppelen na HDS-configuratie

                                                                                                                                                  De standaard HDS-configuratie wordt uitgevoerd met de ISO gemonteerd. Maar sommige klanten geven er de voorkeur aan ISO-bestanden niet continu gemonteerd achter te laten. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

                                                                                                                                                  U gebruikt de ISO-bestanden nog steeds om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de installatietool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra al uw knooppunten de configuratiewijzigingen hebben overgenomen, kunt u de ISO opnieuw loskoppelen met deze procedure.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

                                                                                                                                                  1

                                                                                                                                                  Sluit een van uw HDS-knooppunten af.

                                                                                                                                                  2

                                                                                                                                                  Selecteer het HDS-knooppunt in het vCenter-serverapparaat.

                                                                                                                                                  3

                                                                                                                                                  Kies Instellingen bewerken > CD/DVD-station en ISO-gegevensopslagbestand uitschakelen.

                                                                                                                                                  4

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 20 minuten geen alarmen zijn.

                                                                                                                                                  5

                                                                                                                                                  Herhaal dit om de beurt voor elk HDS-knooppunt.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Waarschuwingen en problemen weergeven

                                                                                                                                                  Een implementatie voor hybride databeveiliging wordt als onbeschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als het cluster zo traag werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

                                                                                                                                                  • Nieuwe ruimten kunnen niet worden gemaakt (kan geen nieuwe sleutels maken)

                                                                                                                                                  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

                                                                                                                                                    • Nieuwe gebruikers toegevoegd aan een ruimte (kan geen toetsen ophalen)

                                                                                                                                                    • Bestaande gebruikers in een ruimte met een nieuwe client (kan geen sleutels ophalen)

                                                                                                                                                  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

                                                                                                                                                  Het is belangrijk dat u uw cluster voor hybride databeveiliging goed bewaakt en alle waarschuwingen onmiddellijk aanpakt om onderbrekingen van de service te voorkomen.

                                                                                                                                                  Waarschuwingen

                                                                                                                                                  Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen aan de organisatiebeheerder weer en worden e-mails naar het geconfigureerde e-mailadres verzonden. De waarschuwingen behandelen veel voorkomende scenario's.

                                                                                                                                                  Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

                                                                                                                                                  Alarm

                                                                                                                                                  Actie

                                                                                                                                                  Toegang tot lokale database mislukt.

                                                                                                                                                  Controleer op databasefouten of problemen met het lokale netwerk.

                                                                                                                                                  Lokale databaseverbinding mislukt.

                                                                                                                                                  Controleer of de databaseserver beschikbaar is en of de juiste serviceaccountgegevens zijn gebruikt in de knooppuntconfiguratie.

                                                                                                                                                  Toegang tot cloudservice mislukt.

                                                                                                                                                  Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Externe verbindingsvereisten.

                                                                                                                                                  Cloudserviceregistratie vernieuwen.

                                                                                                                                                  Registratie bij cloudservices is geschrapt. De registratie wordt vernieuwd.

                                                                                                                                                  Registratie van cloudservice is verbroken.

                                                                                                                                                  Registratie voor cloudservices is beëindigd. De service wordt afgesloten.

                                                                                                                                                  Service nog niet geactiveerd.

                                                                                                                                                  Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie.

                                                                                                                                                  Het geconfigureerde domein komt niet overeen met het servercertificaat.

                                                                                                                                                  Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

                                                                                                                                                  De meest waarschijnlijke oorzaak is dat de CN van het certificaat onlangs is gewijzigd en nu verschilt van de CN die tijdens de eerste installatie is gebruikt.

                                                                                                                                                  Kan niet verifiëren bij cloudservices.

                                                                                                                                                  Controleer of de gegevens van het serviceaccount correct zijn en mogelijk verlopen.

                                                                                                                                                  Kan lokaal keystore-bestand niet openen.

                                                                                                                                                  Controleer op integriteit en nauwkeurigheid van het wachtwoord in het lokale keystore-bestand.

                                                                                                                                                  Lokaal servercertificaat is ongeldig.

                                                                                                                                                  Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

                                                                                                                                                  Kan statistieken niet plaatsen.

                                                                                                                                                  Controleer de toegang van het lokale netwerk tot externe cloudservices.

                                                                                                                                                  /media/configdrive/hds directory bestaat niet.

                                                                                                                                                  Controleer de ISO-montageconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om opnieuw op te starten en of het met succes wordt geïnstalleerd.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met hybride databeveiliging.
                                                                                                                                                  1

                                                                                                                                                  Controleer Control Hub op waarschuwingen en los alle items op die u daar vindt.

                                                                                                                                                  2

                                                                                                                                                  Controleer de uitvoer van de syslog-server voor activiteit vanuit de implementatie voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Neem contact op met de ondersteuning van Cisco.

                                                                                                                                                  Andere opmerkingen

                                                                                                                                                  Bekende problemen voor hybride databeveiliging

                                                                                                                                                  • Als u uw cluster voor hybride databeveiliging afsluit (door het te verwijderen in Control Hub of door alle knooppunten af te sluiten), uw configuratie-ISO-bestand verliest of toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst met personen die zijn gemaakt met toetsen van uw KMS. Dit geldt zowel voor proefperioden als voor productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en dringen er bij u op aan om uw HDS-services niet af te sluiten zodra ze actieve gebruikersaccounts afhandelen.

                                                                                                                                                  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een periode (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefperiode voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken tot er een time-out optreedt. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact opneemt voor coderingssleutels.

                                                                                                                                                    Hetzelfde gedrag treedt op wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle niet-proefgebruikers met bestaande ECDH-verbindingen met de vorige gegevensbeveiligingsservices blijven deze services gebruiken totdat er opnieuw wordt onderhandeld over de ECDH-verbinding (via time-out of door afmelden en weer aanmelden).

                                                                                                                                                  OpenSSL gebruiken om een PKCS12-bestand te genereren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS Setup Tool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten niet op de een of andere manier.

                                                                                                                                                  • Als u ervoor kiest om OpenSSL te gebruiken, bieden we deze procedure aan als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

                                                                                                                                                  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

                                                                                                                                                  • Maak een privésleutel aan.

                                                                                                                                                  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificeringsinstantie (CA).

                                                                                                                                                  1

                                                                                                                                                  Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Geef het certificaat weer als tekst en controleer de details.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Gebruik een teksteditor om een certificaatbundelbestand met de naam hdsnode-bundle.pem. Het bundelbestand moet het servercertificaat, eventuele tussentijdse CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Maak het .p12-bestand met de vriendelijke naam kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controleer de gegevens van het servercertificaat.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Voer een wachtwoord in om de privésleutel te coderen, zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de lijnen bevatten friendlyName: kms-private-key.

                                                                                                                                                    Voorbeeld:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Ga terug naar Vereisten voor hybride databeveiliging voltooien. U gebruikt de hdsnode.p12 bestand en het wachtwoord dat u ervoor hebt ingesteld, in Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

                                                                                                                                                  Verkeer tussen de HDS-knooppunten en de cloud

                                                                                                                                                  Verkeer voor verzameling uitgaande statistieken

                                                                                                                                                  De knooppunten voor hybride databeveiliging sturen bepaalde statistieken naar de Webex-cloud. Dit zijn onder andere systeemstatistieken voor de maximale heap, gebruikte heap, CPU-belasting en draadtelling; statistieken over synchrone en asynchrone threads; statistieken over waarschuwingen met een drempelwaarde voor coderingsverbindingen, latentie of de lengte van een aanvraagwachtrij; statistieken over de gegevensopslag; en coderingsverbindingsstatistieken. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (gescheiden van het verzoekkanaal).

                                                                                                                                                  Inkomend verkeer

                                                                                                                                                  De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer vanuit de Webex-cloud:

                                                                                                                                                  • Coderingsverzoeken van clients die door de coderingsservice worden gerouteerd

                                                                                                                                                  • Upgrades naar de knooppuntsoftware

                                                                                                                                                  Squid-proxy's configureren voor hybride databeveiliging

                                                                                                                                                  Websocket kan geen verbinding maken via de Squid Proxy

                                                                                                                                                  Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de instelling van websocket ( wss:) verbindingen die Hybride databeveiliging vereist. Deze secties bieden richtlijnen voor het configureren van verschillende versies van Squid om te negeren wss: verkeer voor de goede werking van de diensten.

                                                                                                                                                  Inktvis 4 en 5

                                                                                                                                                  Voeg de on_unsupported_protocol richtlijn tot squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Pijlinktvis 3.5.27

                                                                                                                                                  We hebben hybride databeveiliging met succes getest met de volgende regels toegevoegd aan squid.conf. Deze regels kunnen worden gewijzigd bij het ontwikkelen van functies en het bijwerken van de Webex-cloud.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Voorwoord

                                                                                                                                                  Nieuwe en gewijzigde informatie

                                                                                                                                                  Datum

                                                                                                                                                  Aangebrachte wijzigingen

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augustus 2023

                                                                                                                                                  23 mei 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker Desktop.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  U kunt het bestand met de privésleutel en de CSR opnieuw gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie.

                                                                                                                                                  30 april 2021

                                                                                                                                                  De VM-vereiste voor lokale harde schijfruimte is gewijzigd in 30 GB. Zie Vereisten voor virtuele host voor meer informatie.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  De HDS-installatietool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO maken voor de HDS-hosts voor meer informatie.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu worden uitgevoerd zonder een gemonteerd ISO-bestand. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Informatie toegevoegd over het hulpprogramma HDS-instellingen en proxy's om een configuratie-ISO voor de HDS-hosts te maken.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Bijgewerkte Installatiebestanden downloaden.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt.

                                                                                                                                                  14 augustus 2020

                                                                                                                                                  De configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces.

                                                                                                                                                  5 augustus 2020

                                                                                                                                                  Bijgewerkte Test uw implementatie voor hybride databeveiliging voor wijzigingen in logboekberichten.

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om het maximale aantal hosts te verwijderen.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Bijgewerkt Een knooppunt verwijderen voor wijzigingen in de gebruikersinterface van Control Hub.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  De ISO voor configuratie maken voor de HDS-hosts is bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk hebt ingesteld.

                                                                                                                                                  29 mei 2020

                                                                                                                                                  Bijgewerkt: maak een configuratie-ISO voor de HDS-hosts om aan te geven dat u ook TLS kunt gebruiken met SQL Server-databases, gebruikersgebruikerswijzigingen en andere verduidelijkingen.

                                                                                                                                                  5 mei 2020

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om de nieuwe vereisten voor ESXi 6.5 weer te geven.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met nieuwe Americas CI-hosts.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met informatie over regionale CI-hosts.

                                                                                                                                                  20 februari 2020Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met informatie over het nieuwe optionele scherm Geavanceerde instellingen in de HDS-installatietool.
                                                                                                                                                  4 februari 2020Proxyserververeisten bijgewerkt.
                                                                                                                                                  16 december 2019De vereiste voor geblokkeerde externe DNS-resolutiemodus is verduidelijkt om te werken in de vereisten voor de proxyserver.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende gedeelten:

                                                                                                                                                  8 november 2019

                                                                                                                                                  U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van erna.

                                                                                                                                                  De volgende gedeelten zijn dienovereenkomstig bijgewerkt:


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Standaard SQL-server toegevoegd aan vereisten voor databaseserver.

                                                                                                                                                  29 augustus 2019Bijlage Squid-proxy's configureren voor hybride databeveiliging toegevoegd met richtlijnen voor het configureren van squid-proxy's om websocketverkeer te negeren voor een goede werking.
                                                                                                                                                  20 augustus 2019

                                                                                                                                                  Er zijn gedeelten toegevoegd en bijgewerkt voor proxyondersteuning voor communicatie van knooppunten voor hybride databeveiliging naar de Webex-cloud.

                                                                                                                                                  Zie het Help-artikel Proxy-ondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie.

                                                                                                                                                  13 juni 2019Bijgewerkte Trial to Production Task Flow met een herinnering om de HdsTrialGroup groepsobject voordat een proefperiode wordt gestart als uw organisatie adreslijstsynchronisatie gebruikt.
                                                                                                                                                  6 maart 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • De hoeveelheid lokale harde schijfruimte per server die u opzij moet zetten bij het voorbereiden van de virtuele hosts die de knooppunten voor hybride databeveiliging worden, van 50 GB tot 20 GB, is gecorrigeerd om de grootte van de schijf weer te geven die door de OVA wordt gemaakt.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Knooppunten voor hybride databeveiliging ondersteunen nu gecodeerde verbindingen met PostgreSQL-databaseservers en gecodeerde logboekverbindingen met een TLS-compatibele syslog-server. Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met instructies.

                                                                                                                                                  • De bestemmings-URL's zijn verwijderd uit de tabel 'Vereisten voor internetconnectiviteit voor hybride gegevensbeveiligingsknooppunt VM's'. De tabel verwijst nu naar de lijst die wordt bijgehouden in de tabel 'Aanvullende URL's voor hybride services van Webex Teams' van Netwerkvereisten voor Webex Teams-services.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybride databeveiliging ondersteunt nu Microsoft SQL Server als database. SQL Server Always On (Always On Failover Clusters en Always on Availability Groups) wordt ondersteund door de JDBC-stuurprogramma's die worden gebruikt in hybride databeveiliging. Er is inhoud toegevoegd met betrekking tot implementatie met SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ondersteuning voor Microsoft SQL Server is alleen bedoeld voor nieuwe implementaties van Hybride databeveiliging. We ondersteunen momenteel geen migratie van gegevens van PostgreSQL naar Microsoft SQL Server in een bestaande implementatie.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 mei 2018

                                                                                                                                                  Gewijzigde terminologie om de rebranding van Cisco Spark weer te geven:

                                                                                                                                                  • Cisco Spark hybride databeveiliging is nu hybride databeveiliging.

                                                                                                                                                  • De Cisco Spark-app is nu de Webex-app.

                                                                                                                                                  • De Cisco Collaboraton Cloud is nu de Webex-cloud.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • In de tabel X.509-certificaatvereisten is gespecificeerd dat het certificaat geen jokercertificaat kan zijn en dat de KMS het CN-domein gebruikt, niet een domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Adreslijstsynchronisatie van de HdsTrialGroup is verduidelijkt.

                                                                                                                                                  • Vaste instructies voor het uploaden van het ISO-configuratiebestand voor montage op de VM-knooppunten.

                                                                                                                                                  18 augustus 2017

                                                                                                                                                  Voor het eerst gepubliceerd

                                                                                                                                                  Aan de slag met hybride databeveiliging

                                                                                                                                                  Overzicht van hybride databeveiliging

                                                                                                                                                  Vanaf dag één is gegevensbeveiliging de belangrijkste focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end inhoudsversleuteling, mogelijk gemaakt door Webex -app-clients die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografische sleutels die clients gebruiken om berichten en bestanden dynamisch te versleutelen en ontsleutelen.

                                                                                                                                                  Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride gegevensbeveiliging verplaatst het KMS en andere beveiligingsgerelateerde functies naar het bedrijfsgegevens , zodat niemand anders dan u de sleutels heeft tot uw versleutelde inhoud.

                                                                                                                                                  Architectuur beveiligingsgebied

                                                                                                                                                  De Webex-cloudarchitectuur scheidt verschillende soorten service in afzonderlijke realms of vertrouwensdomeinen, zoals hieronder wordt weergegeven.

                                                                                                                                                  Scheidingsgebieden (zonder hybride databeveiliging)

                                                                                                                                                  Laten we eerst eens kijken naar deze zuivere cloudcase, waarin Cisco alle functies in zijn clouddomeinen aanbiedt om meer inzicht te krijgen in hybride databeveiliging. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks kunnen worden gecorreleerd met hun persoonlijke informatie zoals e-mailadres, is logisch en fysiek gescheiden van de beveiligingsrealm in datacenter B. Beide zijn op hun beurt gescheiden van de realm waar versleutelde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

                                                                                                                                                  In dit diagram is de client de Webex-app die wordt uitgevoerd op de laptop van een gebruiker en is deze geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

                                                                                                                                                  1. De client maakt een veilige verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel om het bericht te versleutelen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

                                                                                                                                                  2. Het bericht wordt gecodeerd voordat het de client verlaat. De klant stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

                                                                                                                                                  3. Het gecodeerde bericht wordt verzonden naar de nalevingsservice voor nalevingscontroles.

                                                                                                                                                  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

                                                                                                                                                  Wanneer u hybride databeveiliging implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de realms van Cisco.

                                                                                                                                                  Samenwerken met andere organisaties

                                                                                                                                                  Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, routeert uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS te krijgen en stuurt de sleutel vervolgens terug naar uw gebruiker op het oorspronkelijke kanaal.

                                                                                                                                                  De KMS-service die wordt uitgevoerd in organisatie A valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw implementatie voor hybride databeveiliging.

                                                                                                                                                  Verwachtingen voor het implementeren van hybride databeveiliging

                                                                                                                                                  Een implementatie van hybride databeveiliging vereist een aanzienlijke klantbetrokkenheid en een bewustzijn van de risico's van het bezit van coderingssleutels.

                                                                                                                                                  Als u hybride databeveiliging wilt implementeren, moet u het volgende opgeven:

                                                                                                                                                  Volledig verlies van de configuratie-ISO die u maakt voor hybride databeveiliging of de database die u levert, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers inhoud van de ruimte en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar alleen nieuwe inhoud is zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

                                                                                                                                                  • De back-up en het herstel van de database en de configuratie-ISO beheren.

                                                                                                                                                  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing in de databaseschijf of een ramp met het datacenter.


                                                                                                                                                   

                                                                                                                                                  Er is geen mechanisme om sleutels na een HDS-implementatie terug naar de cloud te verplaatsen.

                                                                                                                                                  Installatieproces op hoog niveau

                                                                                                                                                  Dit document behandelt het instellen en beheren van een implementatie voor hybride databeveiliging:

                                                                                                                                                  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset gebruikers in de proefmodus en, zodra uw tests zijn voltooid, het verplaatsen naar productie. Hiermee wordt de hele organisatie geconverteerd om uw cluster voor hybride databeveiliging te gebruiken voor beveiligingsfuncties.

                                                                                                                                                    De installatie-, proef- en productiefasen worden in de volgende drie hoofdstukken in detail besproken.

                                                                                                                                                  • Uw implementatie voor hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch voortdurende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig ondersteuning van Cisco inschakelen. U kunt meldingen op het scherm gebruiken en op e-mail gebaseerde waarschuwingen instellen in Control Hub.

                                                                                                                                                  • Algemene waarschuwingen, stappen voor probleemoplossing en bekende problemen begrijpen: als u problemen ondervindt bij het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  In uw bedrijfsdatacenter implementeert u hybride databeveiliging als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

                                                                                                                                                  Tijdens het installatieproces bieden we u het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt monteert. Het cluster Hybride databeveiliging gebruikt de door u geleverde Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de details van de Syslogd- en databaseverbinding in de HDS-installatietool.)

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  Het minimumaantal knooppunten dat u in een cluster kunt hebben is twee. We raden ten minste drie aan en u kunt er maximaal vijf hebben. Als u meerdere knooppunten hebt, wordt de service niet onderbroken tijdens een software-upgrade of andere onderhoudsactiviteit op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

                                                                                                                                                  Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en logboekactiviteit op dezelfde syslog-server. De knooppunten zelf zijn stateloos, en behandelen belangrijke verzoeken in round-robin mode, zoals geregisseerd door de cloud.

                                                                                                                                                  Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt buiten gebruik wilt stellen, kunt u de registratie ongedaan maken en later opnieuw registreren, indien nodig.

                                                                                                                                                  We ondersteunen slechts één cluster per organisatie.

                                                                                                                                                  Proefmodus voor hybride databeveiliging

                                                                                                                                                  Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u dit eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.

                                                                                                                                                  Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de pilootgebruikers en alle gebruikers met wie ze tijdens de proefperiode interactie hebben gehad door nieuwe ruimten te maken, de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.

                                                                                                                                                  Als u ervan overtuigd bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilootgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, bijvoorbeeld om noodherstel uit te voeren, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilootgebruikers voor de nieuwe proefperiode instellen voordat u teruggaat naar de productiemodus. Of gebruikers op dit moment toegang tot gegevens behouden, hangt af van het feit of u back-ups van de sleutelgegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster hebt onderhouden.

                                                                                                                                                  Standby-datacenter voor noodherstel

                                                                                                                                                  Tijdens de implementatie stelt u een beveiligd stand-bydatacenter in. In het geval van een ramp met een datacenter kunt u uw implementatie handmatig overzetten naar het stand-bydatacenter.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Handmatige failover naar stand-bydatacenter

                                                                                                                                                  De databases van de actieve en stand-by datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is om de failover uit te voeren, tot een minimum wordt beperkt. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten zijn geregistreerd bij de organisatie, maar geen verkeer afhandelen. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van de HDS-software.


                                                                                                                                                   

                                                                                                                                                  De actieve knooppunten voor hybride databeveiliging moeten altijd in hetzelfde datacenter zijn als de actieve databaseserver.

                                                                                                                                                  Standby-datacenter instellen voor noodherstel

                                                                                                                                                  Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Het stand-bydatacenter moet de productieomgeving van VM's en een back-up PostgreSQL- of Microsoft SQL Server-database weerspiegelen. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. (Zie Standby Data Center for Disaster Recovery voor een overzicht van dit failovermodel.)

                                                                                                                                                  • Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database met actieve en passieve clusterknooppunten.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.


                                                                                                                                                   

                                                                                                                                                  Het ISO-bestand moet een kopie zijn van het originele ISO-bestand van het primaire datacenter waarop de volgende configuratieupdates moeten worden uitgevoerd.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar wordt er geen verkeer afgehandeld.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslogs om te controleren of de knooppunten zich in de passieve modus bevinden. U moet het bericht 'KMS geconfigureerd in passieve modus' in de syslogs kunnen bekijken.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Na het configureren passiveMode in het ISO-bestand en opslaan, kunt u een andere kopie van het ISO-bestand maken zonder de passiveMode configureren en opslaan op een veilige locatie. Deze kopie van het ISO-bestand zonder passiveMode geconfigureerd kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met behulp van het stand-bydatacenter voor de gedetailleerde failoverprocedure.

                                                                                                                                                  Proxyondersteuning

                                                                                                                                                  Hybride databeveiliging ondersteunt expliciete, transparante en niet-inspecterende proxy's. U kunt deze proxy's aan uw implementatie koppelen zodat u het verkeer van de onderneming naar de cloud kunt beveiligen en bewaken. U kunt een platformbeheerinterface op de knooppunten gebruiken voor certificaatbeheer en om de algehele verbindingsstatus te controleren nadat u de proxy op de knooppunten hebt ingesteld.

                                                                                                                                                  De knooppunten voor hybride databeveiliging ondersteunen de volgende proxyopties:

                                                                                                                                                  • Geen proxy: de standaardinstelling als u de HDS-knooppuntconfiguratie Vertrouwensarchief en proxy niet gebruikt om een proxy te integreren. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante niet-inspecterende proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante tunneling of inspectie van proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP- of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).

                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welk proxyserver- en verificatieschema u moet gebruiken. Als u een expliciete proxy wilt configureren, moet u de volgende informatie op elk knooppunt invoeren:

                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

                                                                                                                                                      • HTTP: geeft alle verzoeken weer die de client verzendt en beheert deze.

                                                                                                                                                      • HTTPS: biedt een kanaal naar de server. De client ontvangt het servercertificaat en valideert het.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar als u HTTPS selecteert als proxyprotocol.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                  Voorbeeld van knooppunten voor hybride databeveiliging en proxy

                                                                                                                                                  In dit diagram ziet u een voorbeeldverbinding tussen hybride databeveiliging, netwerk en een proxy. Voor de opties voor transparante inspectie en HTTPS expliciete inspectie proxy moet hetzelfde hoofdcertificaat worden geïnstalleerd op de proxy en op de knooppunten voor hybride databeveiliging.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus (expliciete proxyconfiguraties)

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. In implementaties met expliciete proxyconfiguraties die geen externe DNS-resolutie voor interne clients toestaan, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie als het knooppunt de DNS-servers niet kan opvragen. In deze modus kunnen knooppuntregistratie en andere proxyverbindingstests worden voortgezet.

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  Vereisten voor hybride databeveiliging

                                                                                                                                                  Vereisten voor Cisco Webex-licenties

                                                                                                                                                  Hybride databeveiliging implementeren:

                                                                                                                                                  Vereisten voor Docker Desktop

                                                                                                                                                  Voordat u uw HDS-knooppunten installeert, hebt u Docker Desktop nodig om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie heeft mogelijk een betaald abonnement voor Docker Desktop nodig. Voor meer informatie raadpleegt u het Docker-blogbericht ' Docker werkt onze productabonnementen bij en verlengt deze ".

                                                                                                                                                  Vereisten voor X.509-certificaten

                                                                                                                                                  De certificaatketen moet aan de volgende vereisten voldoen:

                                                                                                                                                  Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

                                                                                                                                                  Vereiste

                                                                                                                                                  Details

                                                                                                                                                  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

                                                                                                                                                  Standaard vertrouwen we de CA’s in de Mozilla lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Bevat een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

                                                                                                                                                  • Is geen jokercertificaat

                                                                                                                                                  De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die uw organisatie weergeeft, bijvoorbeeld: hds.company.com.

                                                                                                                                                  De algemene naam mag geen * (jokerteken) bevatten.

                                                                                                                                                  De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren bij clients van de Webex-app. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  Zodra u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat kan worden toegepast op zowel de proefperiode- als productie-implementaties.

                                                                                                                                                  • Niet-SHA1 handtekening

                                                                                                                                                  De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

                                                                                                                                                  • Geformatteerd als een met een wachtwoord beveiligd PKCS #12-bestand

                                                                                                                                                  • Gebruik de vriendelijke naam van kms-private-key om het certificaat, de privésleutel en eventuele tussenliggende certificaten te taggen die moeten worden geüpload.

                                                                                                                                                  U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

                                                                                                                                                  U moet het wachtwoord invoeren wanneer u de HDS-installatietool uitvoert.

                                                                                                                                                  De KMS-software dwingt sleutelgebruik of uitgebreide beperkingen voor sleutelgebruik niet af. Sommige certificeringsinstanties vereisen dat uitgebreide belangrijke gebruiksbeperkingen worden toegepast op elk certificaat, zoals serververificatie. U mag de serververificatie of andere instellingen gebruiken.

                                                                                                                                                  Vereisten voor virtuele host

                                                                                                                                                  De virtuele hosts die u instelt als knooppunten voor hybride databeveiliging in uw cluster, hebben de volgende vereisten:

                                                                                                                                                  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich in hetzelfde beveiligde datacenter bevinden

                                                                                                                                                  • VMware ESXi 6.5 (of hoger) geïnstalleerd en actief.


                                                                                                                                                     

                                                                                                                                                    U moet upgraden als u een eerdere versie van ESXi hebt.

                                                                                                                                                  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

                                                                                                                                                  Vereisten voor databaseserver


                                                                                                                                                   

                                                                                                                                                  Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. Wanneer de HDS-toepassingen zijn geïnstalleerd, maakt u het databaseschema.

                                                                                                                                                  Er zijn twee opties voor databaseserver. De vereisten voor elk zijn als volgt:

                                                                                                                                                  Tabel 2. Vereisten databaseserver per type database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

                                                                                                                                                  • SQL Server 2016, 2017 of 2019 (Enterprise of Standard) geïnstalleerd.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL JDBC-stuurprogramma van SQL Server 4.6

                                                                                                                                                  Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover Cluster Instances en Always On availability groups).

                                                                                                                                                  Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

                                                                                                                                                  Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

                                                                                                                                                  • De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

                                                                                                                                                  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees-/schrijftoegang hebben tot de database.

                                                                                                                                                  • De DNS-servers die u aan HDS-knooppunten levert, moeten uw Key Distribution Center (KDC) kunnen oplossen.

                                                                                                                                                  • U kunt de HDS-database-instantie op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een servicenaam registreren voor Kerberos-verbindingen.

                                                                                                                                                    De HDS-installatietool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens van uw ISO-configuratie om de SPN te construeren wanneer ze toegang aanvragen met Kerberos-verificatie.

                                                                                                                                                  Externe connectiviteitsvereisten

                                                                                                                                                  Configureer uw firewall om de volgende verbinding voor de HDS-toepassingen toe te staan:

                                                                                                                                                  App

                                                                                                                                                  Protocol

                                                                                                                                                  Poort

                                                                                                                                                  Richting van app

                                                                                                                                                  Bestemming

                                                                                                                                                  Knooppunten voor hybride databeveiliging

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS en WSS

                                                                                                                                                  • Webex-servers:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • Andere URL's die worden vermeld voor beveiliging van hybride gegevens in de tabel Aanvullende URL's voor hybride Webex-services met netwerkvereisten voor Webex-services

                                                                                                                                                  Hulpprogramma voor HDS-instellingen

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die inkomend zijn naar de knooppunten voor hybride databeveiliging, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients voor beheerdoeleinden toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22.

                                                                                                                                                  De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:

                                                                                                                                                  Regio

                                                                                                                                                  Host-URL's van Common Identity

                                                                                                                                                  Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europese Unie

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Vereisten voor proxyserver

                                                                                                                                                  • We ondersteunen officieel de volgende proxyoplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride databeveiliging.

                                                                                                                                                    • Transparante proxy: Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Expliciete proxy: Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de oprichting van websocket verstoren (wss:) verbindingen. Zie Squid-proxy's configureren voor hybride databeveiliging voor meer informatie over dit probleem.

                                                                                                                                                  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

                                                                                                                                                    • Geen verificatie met HTTP of HTTPS

                                                                                                                                                    • Basisverificatie met HTTP of HTTPS

                                                                                                                                                    • Digestverificatie met alleen HTTPS

                                                                                                                                                  • Voor een transparante inspecterende proxy of een expliciete HTTPS-proxy moet u een kopie hebben van het hoofdcertificaat van de proxy. De implementatie-instructies in deze handleiding vertellen u hoe u de kopie kunt uploaden naar de vertrouwensarchieven van de knooppunten voor hybride databeveiliging.

                                                                                                                                                  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 te dwingen via de proxy te routeren.

                                                                                                                                                  • Proxy's die webverkeer inspecteren, kunnen de verbindingen met de websocket verstoren. Indien dit probleem zich voordoet, verkeer overslaan (niet inspecteren) naar wbx2.com en ciscospark.com zal het probleem oplossen.

                                                                                                                                                  Voldoen aan de vereisten voor hybride databeveiliging

                                                                                                                                                  Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
                                                                                                                                                  1

                                                                                                                                                  Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en ontvang de referenties van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

                                                                                                                                                  2

                                                                                                                                                  Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  3

                                                                                                                                                  Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt ten minste twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter zijn geplaatst en voldoen aan de vereisten in Vereisten voor virtuele host.

                                                                                                                                                  4

                                                                                                                                                  Bereid de databaseserver voor die zal fungeren als de belangrijkste gegevensopslag voor het cluster, overeenkomstig de vereisten voor de databaseserver. De databaseserver moet samen met de virtuele hosts in het beveiligde datacenter worden geplaatst.

                                                                                                                                                  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik de standaarddatabase niet. De HDS-toepassingen maken het databaseschema wanneer ze zijn geïnstalleerd.)

                                                                                                                                                  2. Verzamel de gegevens die de knooppunten gebruiken om met de databaseserver te communiceren:

                                                                                                                                                    • de hostnaam of het IP-adres (host) en de poort

                                                                                                                                                    • de naam van de database (dbname) voor key storage

                                                                                                                                                    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de database met sleutelopslag

                                                                                                                                                  5

                                                                                                                                                  Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben.

                                                                                                                                                  6

                                                                                                                                                  Stel een Syslog-host in om logboeken te verzamelen van de knooppunten in het cluster. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Maak een veilig back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.


                                                                                                                                                   

                                                                                                                                                  Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die worden gebruikt voor codering en decodering van inhoud, leidt het niet onderhouden van een operationele implementatie tot het ONHERSTELBARE VERLIES van die inhoud.

                                                                                                                                                  Clients van de Webex-app brengen hun sleutels in de cache, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen niet te voorkomen zijn, kunnen ze worden hersteld. Volledig verlies (geen back-ups beschikbaar) van de database of het ISO-configuratiebestand leidt echter tot niet-herstelbare klantgegevens. Van de beheerders van de knooppunten voor hybride databeveiliging wordt verwacht dat ze regelmatig back-ups van de database en het configuratie-ISO-bestand onderhouden, en dat ze bereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als er een catastrofale storing optreedt.

                                                                                                                                                  8

                                                                                                                                                  Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw hybride databeveiligingsknooppunten mogelijk maakt, zoals beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  9

                                                                                                                                                  Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft tot het besturingssysteem op http://127.0.0.1:8080.

                                                                                                                                                  U gebruikt het Docker-exemplaar om de HDS-installatietool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratie-informatie op voor alle knooppunten voor hybride databeveiliging. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker Desktop voor meer informatie.

                                                                                                                                                  Om de HDS-setuptool te installeren en uit te voeren, moet de lokale machine de connectiviteit hebben die wordt beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  10

                                                                                                                                                  Als u een proxy integreert met hybride databeveiliging, moet u ervoor zorgen dat deze voldoet aan de vereisten voor de proxyserver.

                                                                                                                                                  11

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, maakt u een groep in Active Directory met de naam HdsTrialGroup en pilootgebruikers toevoegen. De proefgroep kan maximaal 250 gebruikers hebben. Het HdsTrialGroup object moet worden gesynchroniseerd met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Als u een groepsobject wilt synchroniseren, selecteert u het in de van de directoryconnector Configuratie > menu Objectselectie. (Zie de Implementatiehandleiding voor Cisco Directoryconnector voor gedetailleerde instructies.)


                                                                                                                                                   

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Houd er bij het selecteren van pilootgebruikers rekening mee dat als u besluit de implementatie voor hybride databeveiliging permanent te deactiveren, alle gebruikers geen toegang meer hebben tot inhoud in de ruimten die door de pilootgebruikers zijn gemaakt. Het verlies wordt duidelijk zodra de apps van gebruikers hun in de cache opgeslagen kopieën van de inhoud vernieuwen.

                                                                                                                                                  Een cluster voor hybride databeveiliging instellen

                                                                                                                                                  Taakstroom implementatie hybride databeveiliging

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  1

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  Download het OVA-bestand naar uw lokale computer voor later gebruik.

                                                                                                                                                  2

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Gebruik de HDS-installatietool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Maak een virtuele machine vanuit het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  4

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd ten tijde van de OVA-implementatie.

                                                                                                                                                  5

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  6

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u indien nodig het proxycertificaat toe aan het vertrouwensarchief.

                                                                                                                                                  7

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Registreer de VM bij de Cisco Webex-cloud als een knooppunt voor hybride databeveiliging.

                                                                                                                                                  8

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Voltooi de clusterinstelling.

                                                                                                                                                  9

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)

                                                                                                                                                  Totdat u een proefperiode start, genereren uw knooppunten een alarm dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). Je gebruikt dit bestand later in het installatieproces.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en klik vervolgens op Services.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik vervolgens op Instellen.

                                                                                                                                                  Als de kaart is uitgeschakeld of u deze niet ziet, neemt u contact op met uw accountteam of uw partnerorganisatie. Geef uw accountnummer en vraag of u uw organisatie wilt inschakelen voor hybride databeveiliging. Als u het accountnummer wilt vinden, klikt u op het tandwiel rechtsboven naast de naam van uw organisatie.


                                                                                                                                                   

                                                                                                                                                  U kunt de OVA ook op elk gewenst moment downloaden via het gedeelte Help op de pagina Instellingen. Klik op de kaart Hybride databeveiliging op Instellingen bewerken om de pagina te openen. Klik vervolgens op Hybride databeveiligingssoftware downloaden in het gedeelte Help.


                                                                                                                                                   

                                                                                                                                                  Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de nieuwste versie van het OVA-bestand downloadt.

                                                                                                                                                  3

                                                                                                                                                  Selecteer Nee om aan te geven dat u het knooppunt nog niet hebt ingesteld en klik vervolgens op Volgende.

                                                                                                                                                  Het OVA-bestand begint automatisch te downloaden. Sla het bestand op een locatie op uw computer op.
                                                                                                                                                  4

                                                                                                                                                  U kunt ook op Implementatiehandleiding openen klikken om te controleren of er een latere versie van deze handleiding beschikbaar is.

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Het installatieproces voor hybride databeveiliging maakt een ISO-bestand. Vervolgens gebruikt u de ISO om uw host voor hybride databeveiliging te configureren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5 opent. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de nieuwste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals:

                                                                                                                                                    • Aanmeldgegevens database

                                                                                                                                                    • Certificaatupdates

                                                                                                                                                    • Wijzigingen in het autorisatiebeleid

                                                                                                                                                  • Als u databaseverbindingen wilt versleutelen, stelt u uw PostgreSQL- of SQL Server-implementatie voor TLS in.

                                                                                                                                                  1

                                                                                                                                                  Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Met deze stap worden eerdere afbeeldingen van het HDS-configuratieprogramma opgeschoond. Als er geen eerdere afbeeldingen zijn, wordt een fout geretourneerd die u kunt negeren.

                                                                                                                                                  2

                                                                                                                                                  Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download de nieuwste stabiele installatiekopie voor uw omgeving:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                  • In normale omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  Gebruik een webbrowser om naar de localhost te gaan http://127.0.0.1:8080 en voer de gebruikersnaam van de klantbeheerder voor Control Hub in de prompt in.

                                                                                                                                                  De tool gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Het hulpprogramma geeft vervolgens de standaard aanmeldingsprompt weer.

                                                                                                                                                  7

                                                                                                                                                  Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de Control Hub-klantbeheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

                                                                                                                                                  8

                                                                                                                                                  Klik op de overzichtspagina van de installatietool op Aan de slag.

                                                                                                                                                  9

                                                                                                                                                  Op de pagina ISO Import hebt u de volgende opties:

                                                                                                                                                  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
                                                                                                                                                  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de browse en uploadt u het.
                                                                                                                                                  10

                                                                                                                                                  Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  • Als u nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat OK is, klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat is verlopen of als u het wilt vervangen, selecteert u Nee voor Doorgaan met gebruik van HDS-certificaatketen en privésleutel uit vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
                                                                                                                                                  11

                                                                                                                                                  Voer het databaseadres en het account voor HDS in om toegang te krijgen tot uw belangrijke gegevensopslag:

                                                                                                                                                  1. Selecteer uw Database Type (PostgreSQL of Microsoft SQL Server).

                                                                                                                                                    Als u Microsoft SQL Server kiest, krijgt u een veld Verificatietype.

                                                                                                                                                  2. (Alleen Microsoft SQL Server) Selecteer uw verificatietype:

                                                                                                                                                    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam.

                                                                                                                                                    • Windows-verificatie: U hebt een Windows-account in de indeling nodig username@DOMAIN in het veld Gebruikersnaam.

                                                                                                                                                  3. Voer het adres van de databaseserver in het formulier in <hostname>:<port> of <IP-address>:<port>.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    dbhost.example.org:1433 of 198.51.100.17:1433

                                                                                                                                                    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

                                                                                                                                                    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

                                                                                                                                                  4. Voer de databasenaam in.

                                                                                                                                                  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten in de database voor sleutelopslag.

                                                                                                                                                  12

                                                                                                                                                  Selecteer een TLS-databaseverbindingsmodus:

                                                                                                                                                  Mode

                                                                                                                                                  Beschrijving

                                                                                                                                                  Voorkeur voor TLS (standaardoptie)

                                                                                                                                                  Voor HDS-knooppunten is geen TLS vereist om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

                                                                                                                                                  TLS vereisen

                                                                                                                                                  HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  TLS vereisen en certificaatondertekenaar verifiëren


                                                                                                                                                   

                                                                                                                                                  Deze modus is niet van toepassing op SQL Server-databases.

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik de hoofdcertificaat van database control onder de vervolgkeuzelijst om het hoofdcertificaat voor deze optie te uploaden.

                                                                                                                                                  TLS vereisen en certificaatondertekenaar en hostnaam verifiëren

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databasehost en -poort. De namen moeten exact overeenkomen, anders verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik de hoofdcertificaat van database control onder de vervolgkeuzelijst om het hoofdcertificaat voor deze optie te uploaden.

                                                                                                                                                  Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-installatietool de TLS-verbinding met de databaseserver. Het hulpprogramma verifieert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, geeft het hulpprogramma een foutmelding waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en wilt doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de HDS-installatietool niet met succes kan worden getest.)

                                                                                                                                                  13

                                                                                                                                                  Configureer uw Syslogd-server op de pagina Systeemlogboeken:

                                                                                                                                                  1. Voer de URL van de syslog-server in.

                                                                                                                                                    Als de server niet DNS-oplosbaar is vanuit de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij Syslogd-host 10.92.43.23 op UDP-poort 514.
                                                                                                                                                  2. Als u uw server instelt om TLS-codering te gebruiken, controleert u Is uw syslog-server geconfigureerd voor SSL-codering?.

                                                                                                                                                    Als u dit selectievakje inschakelt, moet u een TCP-URL invoeren, zoals tcp://10.92.43.23:514.

                                                                                                                                                  3. Kies in de vervolgkeuzelijst Beëindiging syslog-record kiezen de juiste instelling voor uw ISO-bestand: Kies of Newline wordt gebruikt voor Graylog en Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Selecteer deze keuze voor Graylog en Rsyslog TCP.

                                                                                                                                                  4. Klik op Doorgaan.

                                                                                                                                                  14

                                                                                                                                                  (Optioneel) U kunt de standaardwaarde voor bepaalde parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u wilt wijzigen:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik op Doorgaan op het scherm Wachtwoord serviceaccounts opnieuw instellen.

                                                                                                                                                  Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u wilt deze opnieuw instellen om eerdere ISO-bestanden ongeldig te maken.

                                                                                                                                                  16

                                                                                                                                                  Klik op ISO-bestand downloaden. Sla het bestand op een gemakkelijk te vinden locatie op.

                                                                                                                                                  17

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem.

                                                                                                                                                  Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  18

                                                                                                                                                  Als u het installatieprogramma wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten voor herstel te maken of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het herstellen van de sleutels uit uw PostgreSQL- of Microsoft SQL Server-database is niet mogelijk.


                                                                                                                                                   

                                                                                                                                                  We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze kwijtraakt.

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Gebruik deze procedure om een virtuele machine te maken vanuit het OVA-bestand.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

                                                                                                                                                  2

                                                                                                                                                  Selecteer File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

                                                                                                                                                  4

                                                                                                                                                  Op de Selecteer een naam en map pagina, voer een in Naam virtuele machine voor het knooppunt (bijvoorbeeld 'HDS_Node_1') kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Op de Een computerbron selecteren pagina, kies de bestemming compute resource en klik vervolgens op Volgende.

                                                                                                                                                  Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloondetails weergegeven.

                                                                                                                                                  6

                                                                                                                                                  Controleer de sjabloondetails en klik op Volgende.

                                                                                                                                                  7

                                                                                                                                                  Als u wordt gevraagd de resourceconfiguratie te kiezen op de Configuratie pagina, klik op 4 CPU en klik vervolgens op Volgende.

                                                                                                                                                  8

                                                                                                                                                  Op de Selecteer opslag pagina, klik op Volgende om de standaard schijfindeling en het VM-opslagbeleid te accepteren.

                                                                                                                                                  9

                                                                                                                                                  Op de Selecteer netwerken-pagina, kies de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

                                                                                                                                                  10

                                                                                                                                                  Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen:

                                                                                                                                                  • Hostnaam: voer de FQDN (hostnaam en domein) of een hostnaam met één woord in voor het knooppunt.

                                                                                                                                                     
                                                                                                                                                    • U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                    • Als u een succesvolle registratie bij de cloud wilt garanderen, gebruikt u alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld. Kapitalisatie wordt momenteel niet ondersteund.

                                                                                                                                                    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

                                                                                                                                                  • IP-adres— Voer het IP-adres in voor de interne interface van het knooppunt.

                                                                                                                                                     

                                                                                                                                                    Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  • Masker: voer het adres van het subnetmasker in de punt-decimale notatie in. Bijvoorbeeld 255.255.255.0.
                                                                                                                                                  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat als toegangspunt dient voor een ander netwerk.
                                                                                                                                                  • DNS-servers: voer een door komma's gescheiden lijst met DNS-servers in, die domeinnamen vertalen naar numerieke IP-adressen. (Maximaal 4 DNS-vermeldingen zijn toegestaan.)
                                                                                                                                                  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die in uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
                                                                                                                                                  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster bereikbaar zijn vanaf clients in uw netwerk voor administratieve doeleinden.

                                                                                                                                                  Indien gewenst kunt u de configuratie van de netwerkinstellingen overslaan en de stappen volgen in De hybride databeveiliging VM instellen om de instellingen vanaf de knooppuntconsole te configureren.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  11

                                                                                                                                                  Klik met de rechtermuisknop op het knooppunt VM en kies Voeding > Voeding aan.

                                                                                                                                                  De software voor hybride databeveiliging is geïnstalleerd als gast op de VM-host. U kunt zich nu aanmelden bij de console en het knooppunt configureren.

                                                                                                                                                  Tips voor het oplossen van problemen

                                                                                                                                                  U kunt een vertraging van een paar minuten ervaren voordat de knooppuntcontainers naar boven komen. Er verschijnt een brugfirewallbericht op de console tijdens de eerste keer opstarten, tijdens welke u zich niet kunt aanmelden.

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

                                                                                                                                                  1

                                                                                                                                                  Selecteer in de VMware vSphere-client uw knooppunt voor hybride databeveiliging VM en selecteer het tabblad Console.

                                                                                                                                                  De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldprompt niet wordt weergegeven, drukt u op Enter.
                                                                                                                                                  2

                                                                                                                                                  Gebruik de volgende standaardaanmelding en het volgende wachtwoord om u aan te melden en de aanmeldgegevens te wijzigen:

                                                                                                                                                  1. Aanmelden: admin

                                                                                                                                                  2. Wachtwoord: cisco

                                                                                                                                                  Aangezien u zich voor de eerste keer aanmeldt bij uw VM, moet u het beheerderswachtwoord wijzigen.

                                                                                                                                                  3

                                                                                                                                                  Als u de netwerkinstellingen al hebt geconfigureerd in Install the HDS Host OVA, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken.

                                                                                                                                                  4

                                                                                                                                                  Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  5

                                                                                                                                                  (Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om aan uw netwerkbeleid te voldoen.

                                                                                                                                                  U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                  6

                                                                                                                                                  Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen van kracht worden.

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Omdat het ISO-bestand de hoofdsleutel bevat, mag het alleen worden blootgesteld op een 'need to know'-basis, voor toegang door de VM's voor hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen die beheerders toegang hebben tot de gegevensopslag.

                                                                                                                                                  1

                                                                                                                                                  Upload het ISO-bestand vanaf uw computer:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

                                                                                                                                                  2. Klik in de hardwarelijst van het tabblad Configuratie op Opslag.

                                                                                                                                                  3. Klik in de lijst Datastores met de rechtermuisknop op de datastore voor uw VM's en klik op Browse Datastore.

                                                                                                                                                  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

                                                                                                                                                  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

                                                                                                                                                  6. Klik op Ja om de waarschuwing voor de upload-/downloadbewerking te accepteren en sluit het dialoogvenster Gegevensopslag.

                                                                                                                                                  2

                                                                                                                                                  Koppel het ISO-bestand:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  2. Klik op OK om de waarschuwing voor beperkte bewerkingsopties te accepteren.

                                                                                                                                                  3. Klikken CD/DVD Drive 1, selecteer de optie om te koppelen vanuit een ISO-bestand voor de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

                                                                                                                                                  4. Controleer Connected en Connect bij ingeschakeld contact.

                                                                                                                                                  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als uw IT-beleid dit vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride databeveiliging. Als u een transparante inspecterende proxy of een expliciete HTTPS-proxy kiest, kunt u de interface van het knooppunt gebruiken om het hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding controleren vanuit de interface en mogelijke problemen oplossen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  1

                                                                                                                                                  Voer de URL voor het instellen van het HDS-knooppunt in https://[HDS Node IP or FQDN]/setup voer in een webbrowser de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Trust Store & Proxy en kies een optie:

                                                                                                                                                  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante niet-inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om met een niet-inspecterende proxy te werken. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTPS-configuratiewijzigingen nodig voor de implementatie van hybride databeveiliging. De HDS-knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).
                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de client (HDS-knooppunten) aan welke proxyserver moet worden gebruikt. Deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: kies http (bekijkt en beheert alle aanvragen die van de client worden ontvangen) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar voor HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                  Volg de volgende stappen voor een transparante inspecterende proxy, een expliciete HTTP-proxy met basisverificatie of een expliciete HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik op Upload a Root Certificate or End Entity Certificate (Een hoofdcertificaat uploaden of een entiteitscertificaat beëindigen) en navigeer vervolgens naar een hoofdcertificaat voor de proxy kiezen.

                                                                                                                                                  Het certificaat is geüpload maar nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijl van de chevron bij de naam van de certificaatverstrekker voor meer informatie of klik op Verwijderen als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

                                                                                                                                                  Als de verbindingstest mislukt, ziet u een foutbericht met de reden en hoe u het probleem kunt oplossen.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken. Deze voorwaarde wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de modus Geblokkeerde externe DNS-resolutie. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u Geblokkeerde externe DNS-resolutiemodus uitschakelen.

                                                                                                                                                  5

                                                                                                                                                  Nadat de verbindingstest is verlopen en de expliciete proxy alleen is ingesteld op https, schakelt u de schakelaar in op Alle poort 443/444-https-verzoeken van dit knooppunt routeren via de expliciete proxy. Deze instelling heeft 15 seconden nodig om van kracht te worden.

                                                                                                                                                  6

                                                                                                                                                  Klik op Alle certificaten installeren in de Trust Store (wordt weergegeven voor een expliciete HTTPS-proxy of een transparante inspecterende proxy) of Opnieuw opstarten (wordt weergegeven voor een expliciete HTTP-proxy), lees de prompt en klik vervolgens op Installeren als u klaar bent.

                                                                                                                                                  Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

                                                                                                                                                  7

                                                                                                                                                  Nadat het knooppunt opnieuw is opgestart, meldt u zich indien nodig opnieuw aan en opent u de pagina Overzicht om de connectiviteitscontroles te controleren en ervoor te zorgen dat ze allemaal groen zijn.

                                                                                                                                                  Met de proxyverbindingscontrole wordt alleen een subdomein van webex.com getest. Als er verbindingsproblemen zijn, is een algemeen probleem dat sommige van de clouddomeinen die in de installatie-instructies worden vermeld, worden geblokkeerd bij de proxy.

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Voor deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in de Hybride databeveiliging VM instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

                                                                                                                                                  Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd om redundantie te bieden.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Selecteer Services in het menu links op het scherm.

                                                                                                                                                  3

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellen.

                                                                                                                                                  De pagina Knooppunt voor hybride databeveiliging registreren wordt weergegeven.
                                                                                                                                                  4

                                                                                                                                                  Selecteer Ja om aan te geven dat u het knooppunt hebt ingesteld en klaar bent om het te registreren. Klik vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Voer in het eerste veld een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

                                                                                                                                                  We raden u aan een cluster een naam te geven op basis van waar de knooppunten van het cluster zich geografisch bevinden. Voorbeelden: "San Francisco" of "New York" of "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                  Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein dat u hebt gebruikt in De VM voor hybride databeveiliging instellen.

                                                                                                                                                  Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik op Ga naar knooppunt.

                                                                                                                                                  8

                                                                                                                                                  Klik in het waarschuwingsbericht op Doorgaan.

                                                                                                                                                  Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  9

                                                                                                                                                  Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                  Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  10

                                                                                                                                                  Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Op de pagina Hybride databeveiliging wordt het nieuwe cluster weergegeven met het knooppunt dat u hebt geregistreerd. Het knooppunt downloadt automatisch de nieuwste software vanuit de cloud.

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Als u extra knooppunten aan uw cluster wilt toevoegen, maakt u gewoon extra VM's en monteert u hetzelfde configuratie-ISO-bestand en registreert u het knooppunt. We raden u aan ten minste 3 knooppunten te hebben.

                                                                                                                                                   

                                                                                                                                                  Op dit moment zijn de back-up-VM's die u hebt gemaakt in Voldoen aan de vereisten voor hybride databeveiliging stand-byhosts die alleen worden gebruikt in het geval van noodherstel. Ze zijn tot die tijd niet geregistreerd bij het systeem. Zie Noodherstel met behulp van het stand-bydatacenter voor meer informatie.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Maak een nieuwe virtuele machine vanuit de OVA en herhaal de stappen in Installeer de HDS-host-OVA.

                                                                                                                                                  2

                                                                                                                                                  Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De hybride databeveiliging instellen.

                                                                                                                                                  3

                                                                                                                                                  Herhaal op de nieuwe VM de stappen in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Configureer het HDS-knooppunt voor proxyintegratie indien nodig voor het nieuwe knooppunt.

                                                                                                                                                  5

                                                                                                                                                  Registreer het knooppunt.

                                                                                                                                                  1. Selecteer in https://admin.webex.comServices in het menu links op het scherm.

                                                                                                                                                  2. Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik op Resources.

                                                                                                                                                    De pagina Resources voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3. Klik op Resource toevoegen.

                                                                                                                                                  4. Selecteer in het eerste veld de naam van uw bestaande cluster.

                                                                                                                                                  5. Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                    Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex-cloud.
                                                                                                                                                  6. Klik op Ga naar knooppunt.

                                                                                                                                                    Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u machtigingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Uw knooppunt is geregistreerd. Houd er rekening mee dat totdat u een proefperiode start, uw knooppunten een alarm genereren dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)
                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie

                                                                                                                                                  Doorstroom proefperiode naar productietaak

                                                                                                                                                  Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers toevoegen en deze gaan gebruiken om uw implementatie te testen en te verifiëren ter voorbereiding op de overgang naar productie.

                                                                                                                                                  1

                                                                                                                                                  Indien van toepassing, synchroniseer de HdsTrialGroup groepsobject.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  2

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd.

                                                                                                                                                  3

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Controleer of belangrijke aanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Controleer de status en stel e-mailmeldingen in voor alarmen.

                                                                                                                                                  5

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  6

                                                                                                                                                  Voltooi de onderzoeksfase met een van de volgende acties:

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Proefperiode starten.

                                                                                                                                                  De servicestatus verandert in de proefmodus.
                                                                                                                                                  4

                                                                                                                                                  Klik op Gebruikers toevoegen en voer het e-mailadres van een of meer gebruikers in om uw knooppunten voor hybride databeveiliging te gebruiken voor codering- en indexeringsservices.

                                                                                                                                                  (Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory om de testgroep te beheren, HdsTrialGroup.)

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging te testen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Stel uw implementatie voor hybride databeveiliging in.

                                                                                                                                                  • Activeer de proefperiode en voeg verschillende proefgebruikers toe.

                                                                                                                                                  • Zorg ervoor dat u toegang hebt tot de syslog om te controleren of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilootgebruikers en maak vervolgens een ruimte en nodig ten minste één pilootgebruiker en één niet-pilootgebruiker uit.


                                                                                                                                                   

                                                                                                                                                  Als u de implementatie van hybride databeveiliging deactiveert, is inhoud in ruimten die pilootgebruikers maken niet meer toegankelijk zodra de in de client opgeslagen kopieën van de coderingssleutels zijn vervangen.

                                                                                                                                                  2

                                                                                                                                                  Verzend berichten naar de nieuwe ruimte.

                                                                                                                                                  3

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de sleutelaanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1. Als u wilt controleren of een gebruiker eerst een veilig kanaal naar de KMS heeft ingesteld, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden, zoals de volgende (identificatiegegevens ingekort voor leesbaarheid):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om te controleren of een gebruiker een bestaande sleutel van het KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Om te controleren of een gebruiker een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Als u wilt controleren of een gebruiker die het maken van een nieuw KMS Resource Object (KRO) aanvraagt wanneer een ruimte of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Een statusindicator in Control Hub geeft aan of alles goed gaat met de implementatie van hybride databeveiliging. Meld u aan voor e-mailmeldingen voor meer proactieve waarschuwingen. U krijgt een melding wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
                                                                                                                                                  1

                                                                                                                                                  Selecteer in Control HubServices in het menu links op het scherm.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellingen.

                                                                                                                                                  De pagina Instellingen voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3

                                                                                                                                                  Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen gescheiden door komma's en druk op Enter.

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  Nadat u een proefperiode hebt geactiveerd en de eerste set proefgebruikers hebt toegevoegd, kunt u op elk gewenst moment leden van de proefperiode toevoegen of verwijderen terwijl de proefperiode actief is.

                                                                                                                                                  Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker om sleutels en sleutels te maken vanuit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die is opgeslagen op uw KMS, zal de cloud-KMS deze namens de gebruiker ophalen.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep te beheren, HdsTrialGroup; u kunt de groepsleden weergeven in Control Hub, maar ze niet toevoegen of verwijderen.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Proefmodus van het gebied Servicestatus op Gebruikers toevoegen of klik op weergeven en bewerken om gebruikers uit de proefperiode te verwijderen.

                                                                                                                                                  4

                                                                                                                                                  Voer het e-mailadres in van een of meer gebruikers die u wilt toevoegen of klik op de X met een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan .

                                                                                                                                                  Overstappen van proefperiode naar productie

                                                                                                                                                  Als u er zeker van bent dat uw implementatie goed werkt voor de gebruikers van de proefperiode, kunt u overgaan naar productie. Wanneer u overgaat naar productie, gebruiken alle gebruikers in de organisatie uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. U kunt niet teruggaan naar de proefmodus vanuit de productie, tenzij u de service deactiveert als onderdeel van noodherstel. Als u de service opnieuw activeert, moet u een nieuwe proefperiode instellen.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Verplaatsen naar productie.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u al uw gebruikers naar de productie wilt verplaatsen.

                                                                                                                                                  Uw proefperiode beëindigen zonder over te stappen naar productie

                                                                                                                                                  Als u tijdens uw proefperiode besluit om niet door te gaan met uw implementatie van Hybride databeveiliging, kunt u Hybride databeveiliging deactiveren. Hiermee wordt de proefperiode beëindigd en worden de proefgebruikers weer verplaatst naar de cloudservices voor databeveiliging. De gebruikers van de proefperiode verliezen toegang tot de gegevens die tijdens de proefperiode zijn gecodeerd.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Deactiveren op Deactiveren.

                                                                                                                                                  4

                                                                                                                                                  Bevestig dat u de service wilt deactiveren en beëindig de proefperiode.

                                                                                                                                                  Uw HDS-implementatie beheren

                                                                                                                                                  HDS-implementatie beheren

                                                                                                                                                  Gebruik de taken die hier worden beschreven om uw implementatie voor hybride databeveiliging te beheren.

                                                                                                                                                  Upgradeschema voor cluster instellen

                                                                                                                                                  Software-upgrades voor hybride databeveiliging worden automatisch uitgevoerd op clusterniveau, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens het upgradeschema voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie om de cluster handmatig te upgraden vóór de geplande upgradetijd. U kunt een specifiek upgradeschema instellen of het standaardschema van 3:00 AM Daily Verenigde Staten gebruiken: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

                                                                                                                                                  De upgradeplanning instellen:

                                                                                                                                                  1

                                                                                                                                                  Meld u aan Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Klik op de pagina Overzicht onder Hybride services op Hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Selecteer het cluster op de pagina Resources voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Selecteer in het deelvenster Overzicht aan de rechterkant onder Clusterinstellingen de clusternaam.

                                                                                                                                                  5

                                                                                                                                                  Selecteer op de pagina Instellingen onder Upgraden de tijd en tijdzone voor het upgradeschema.

                                                                                                                                                  Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen naar de volgende dag door op Uitstellen te klikken.

                                                                                                                                                  De knooppuntconfiguratie wijzigen

                                                                                                                                                  Soms moet u de configuratie van uw Hybrid Data Security-knooppunt wijzigen om een reden zoals:
                                                                                                                                                  • x.509-certificaten wijzigen vanwege verlopen of andere redenen.


                                                                                                                                                     

                                                                                                                                                    We ondersteunen het wijzigen van de CN- domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om het cluster te registreren.

                                                                                                                                                  • Database-instellingen bijwerken om te wijzigen in een replica van de PostgreSQL- of Microsoft SQL Server-database.


                                                                                                                                                     

                                                                                                                                                    We bieden geen ondersteuning voor het migreren van gegevens van PostgreSQL naar Microsoft SQL Server, of andersom. Als u de databaseomgeving wilt wijzigen, start u een nieuwe implementatie van Hybrid Data Security.

                                                                                                                                                  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

                                                                                                                                                  Om veiligheidsredenen gebruikt hybride databeveiliging serviceaccountwachtwoorden die elke 9 maanden worden gewijzigd. De HDS-setuptool genereert deze wachtwoorden en u implementeert ze in uw HDS-knooppunten als onderdeel van het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een 'kennisgeving van het verlopen van uw wachtwoord' van het Webex-team, waarin u wordt gevraagd het wachtwoord van uw machineaccount opnieuw in te stellen. (De e-mail bevat de tekst 'Gebruik de computeraccount- API om het wachtwoord bij te werken.') Als uw wachtwoorden nog niet zijn verlopen, biedt het hulpprogramma u twee opties:

                                                                                                                                                  • Zachte reset —De oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO -bestand op de knooppunten geleidelijk te vervangen.

                                                                                                                                                  • Harde reset —De oude wachtwoorden werken onmiddellijk niet meer.

                                                                                                                                                  Als uw wachtwoorden verlopen zonder een reset, heeft dit gevolgen voor uw HDS-service, waardoor een onmiddellijke harde reset en vervanging van het ISO -bestand op alle knooppunten nodig is.

                                                                                                                                                  Gebruik deze procedure om een nieuw ISO -configuratiebestand te genereren en dit toe te passen op uw cluster.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen bij het weergeven van de Docker-container in 1.e. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel die de PostgreSQL- of Microsoft SQL Server-database versleutelt. U hebt de ISO nodig wanneer u configuratiewijzigingen aanbrengt, inclusief databasereferenties, certificaatupdates of wijzigingen in het autorisatiebeleid.

                                                                                                                                                  1

                                                                                                                                                  Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

                                                                                                                                                  1. Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Met deze stap worden eerdere afbeeldingen van het HDS-configuratieprogramma opgeschoond. Als er geen eerdere afbeeldingen zijn, wordt een fout geretourneerd die u kunt negeren.

                                                                                                                                                  2. Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Download de nieuwste stabiele installatiekopie voor uw omgeving:

                                                                                                                                                    In normale omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    In FedRAMP-omgevingen:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 beschikken niet over de schermen voor het opnieuw instellen van wachtwoorden.

                                                                                                                                                  5. Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                    • In normale omgevingen zonder een proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In normale omgevingen met een HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'.

                                                                                                                                                  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  7. Wanneer u hierom wordt gevraagd, voert u uw -klantaanmeldgegevens in en klikt u vervolgens op Accepteren om door te gaan.

                                                                                                                                                  8. Importeer het huidige ISO-configuratiebestand.

                                                                                                                                                  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

                                                                                                                                                    Als u het installatieprogramma wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

                                                                                                                                                  2

                                                                                                                                                  Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor het -knooppunt en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

                                                                                                                                                  1. Installeer de HDS-host-OVA.

                                                                                                                                                  2. Stel de HDS-VM in.

                                                                                                                                                  3. Koppel het bijgewerkte configuratiebestand.

                                                                                                                                                  4. Registreer het nieuwe knooppunt in Control Hub.

                                                                                                                                                  3

                                                                                                                                                  Koppel het ISO -bestand voor bestaande HDS-knooppunten waarop het oudere configuratiebestand wordt uitgevoerd. Voer de volgende procedure uit op elk knooppunt en werk elk knooppunt bij voordat u het volgende knooppunt uitschakelt:

                                                                                                                                                  1. Schakel de virtuele machine uit.

                                                                                                                                                  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  3. Klikken CD/DVD Drive 1 Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

                                                                                                                                                  4. Schakel het selectievakje Verbinding maken na inschakelen in.

                                                                                                                                                  5. Sla uw wijzigingen op en schakel de virtuele machine in.

                                                                                                                                                  4

                                                                                                                                                  Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus uitschakelen

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. Als de DNS-server van het knooppunt geen openbare DNS-namen kan oplossen, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie.

                                                                                                                                                  Als uw knooppunten openbare DNS-namen kunnen oplossen via interne DNS-servers, kunt u deze modus uitschakelen door de proxyverbindingstest op elk knooppunt opnieuw uit te voeren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Zorg ervoor dat uw interne DNS-servers openbare DNS-namen kunnen oplossen en dat uw knooppunten met hen kunnen communiceren.
                                                                                                                                                  1

                                                                                                                                                  Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/instellingen, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Overzicht (de standaardpagina).

                                                                                                                                                  Indien ingeschakeld, Geblokkeerde externe DNS omzetting is ingesteld op Ja .

                                                                                                                                                  3

                                                                                                                                                  Ga naar de pagina Vertrouwensarchief & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken en blijft deze modus actief. Anders moet de geblokkeerde externe DNS-resolutie worden ingesteld op nee nadat u het knooppunt opnieuw hebt opgestart en teruggaat naar de pagina Overzicht.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Herhaal de proxyverbindingstest op elk knooppunt in uw cluster voor hybride databeveiliging.

                                                                                                                                                  Een knooppunt verwijderen

                                                                                                                                                  Gebruik deze procedure om een knooppunt voor hybride databeveiliging uit de Webex-cloud te verwijderen. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en de virtuele machine uit te schakelen.

                                                                                                                                                  2

                                                                                                                                                  Verwijder het knooppunt:

                                                                                                                                                  1. Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources voor hybride databeveiliging weer te geven.

                                                                                                                                                  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

                                                                                                                                                  4. Klik op Knooppuntenlijst openen.

                                                                                                                                                  5. Selecteer op het tabblad Knooppunten het knooppunt dat u wilt verwijderen.

                                                                                                                                                  6. Klik op Acties > Knooppunt uitschrijven.

                                                                                                                                                  3

                                                                                                                                                  Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

                                                                                                                                                  Als u de VM niet verwijdert, moet u het ISO-configuratiebestand loskoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken om toegang te krijgen tot uw beveiligingsgegevens.

                                                                                                                                                  Noodherstel met behulp van het stand-bydatacenter

                                                                                                                                                  De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt voor het coderen van berichten en andere inhoud die in de Webex-cloud is opgeslagen. Voor elke gebruiker binnen de organisatie die is toegewezen aan hybride databeveiliging, worden nieuwe aanvragen voor het maken van sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de sleutels die zijn gemaakt aan gebruikers die bevoegd zijn om ze op te halen, bijvoorbeeld leden van een gespreksruimte.

                                                                                                                                                  Omdat het cluster de kritieke functie van het leveren van deze sleutels vervult, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden behouden. Verlies van de database met hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van inhoud van de klant. De volgende praktijken zijn verplicht om een dergelijk verlies te voorkomen:

                                                                                                                                                  Als door een calamiteit de HDS-implementatie in het primaire datacenter niet meer beschikbaar is, volgt u deze procedure om handmatig te failover te gaan naar het stand-bydatacenter.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe of verwijder de passiveMode configuratie om het knooppunt actief te maken. Het knooppunt kan het verkeer afhandelen zodra dit is geconfigureerd.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de knooppunten van het stand-bydatacenter zich niet in de passieve modus bevinden. 'KMS geconfigureerd in de passieve modus' mag niet worden weergegeven in de syslogs.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als het primaire datacenter na failover weer actief wordt, plaatst u het stand-bydatacenter opnieuw in de passieve modus door de stappen te volgen die worden beschreven in Setup Standby Data Center for Disaster Recovery.

                                                                                                                                                  (Optioneel) ISO loskoppelen na HDS-configuratie

                                                                                                                                                  De standaard HDS-configuratie wordt uitgevoerd met de ISO gemonteerd. Maar sommige klanten geven er de voorkeur aan ISO-bestanden niet continu gemonteerd achter te laten. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

                                                                                                                                                  U gebruikt de ISO-bestanden nog steeds om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de installatietool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra al uw knooppunten de configuratiewijzigingen hebben overgenomen, kunt u de ISO opnieuw loskoppelen met deze procedure.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

                                                                                                                                                  1

                                                                                                                                                  Sluit een van uw HDS-knooppunten af.

                                                                                                                                                  2

                                                                                                                                                  Selecteer het HDS-knooppunt in het vCenter-serverapparaat.

                                                                                                                                                  3

                                                                                                                                                  Kies Instellingen bewerken > CD/DVD-station en ISO-gegevensopslagbestand uitschakelen.

                                                                                                                                                  4

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 20 minuten geen alarmen zijn.

                                                                                                                                                  5

                                                                                                                                                  Herhaal dit om de beurt voor elk HDS-knooppunt.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Waarschuwingen en problemen weergeven

                                                                                                                                                  Een implementatie voor hybride databeveiliging wordt als onbeschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als het cluster zo traag werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

                                                                                                                                                  • Nieuwe ruimten kunnen niet worden gemaakt (kan geen nieuwe sleutels maken)

                                                                                                                                                  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

                                                                                                                                                    • Nieuwe gebruikers toegevoegd aan een ruimte (kan geen toetsen ophalen)

                                                                                                                                                    • Bestaande gebruikers in een ruimte met een nieuwe client (kan geen sleutels ophalen)

                                                                                                                                                  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

                                                                                                                                                  Het is belangrijk dat u uw cluster voor hybride databeveiliging goed bewaakt en alle waarschuwingen onmiddellijk aanpakt om onderbrekingen van de service te voorkomen.

                                                                                                                                                  Waarschuwingen

                                                                                                                                                  Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen aan de organisatiebeheerder weer en worden e-mails naar het geconfigureerde e-mailadres verzonden. De waarschuwingen behandelen veel voorkomende scenario's.

                                                                                                                                                  Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

                                                                                                                                                  Alarm

                                                                                                                                                  Actie

                                                                                                                                                  Toegang tot lokale database mislukt.

                                                                                                                                                  Controleer op databasefouten of problemen met het lokale netwerk.

                                                                                                                                                  Lokale databaseverbinding mislukt.

                                                                                                                                                  Controleer of de databaseserver beschikbaar is en of de juiste serviceaccountgegevens zijn gebruikt in de knooppuntconfiguratie.

                                                                                                                                                  Toegang tot cloudservice mislukt.

                                                                                                                                                  Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Externe verbindingsvereisten.

                                                                                                                                                  Cloudserviceregistratie vernieuwen.

                                                                                                                                                  Registratie bij cloudservices is geschrapt. De registratie wordt vernieuwd.

                                                                                                                                                  Registratie van cloudservice is verbroken.

                                                                                                                                                  Registratie voor cloudservices is beëindigd. De service wordt afgesloten.

                                                                                                                                                  Service nog niet geactiveerd.

                                                                                                                                                  Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie.

                                                                                                                                                  Het geconfigureerde domein komt niet overeen met het servercertificaat.

                                                                                                                                                  Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

                                                                                                                                                  De meest waarschijnlijke oorzaak is dat de CN van het certificaat onlangs is gewijzigd en nu verschilt van de CN die tijdens de eerste installatie is gebruikt.

                                                                                                                                                  Kan niet verifiëren bij cloudservices.

                                                                                                                                                  Controleer of de gegevens van het serviceaccount correct zijn en mogelijk verlopen.

                                                                                                                                                  Kan lokaal keystore-bestand niet openen.

                                                                                                                                                  Controleer op integriteit en nauwkeurigheid van het wachtwoord in het lokale keystore-bestand.

                                                                                                                                                  Lokaal servercertificaat is ongeldig.

                                                                                                                                                  Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

                                                                                                                                                  Kan statistieken niet plaatsen.

                                                                                                                                                  Controleer de toegang van het lokale netwerk tot externe cloudservices.

                                                                                                                                                  /media/configdrive/hds directory bestaat niet.

                                                                                                                                                  Controleer de ISO-montageconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om opnieuw op te starten en of het met succes wordt geïnstalleerd.

                                                                                                                                                  Problemen met hybride databeveiliging oplossen

                                                                                                                                                  Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met hybride databeveiliging.
                                                                                                                                                  1

                                                                                                                                                  Controleer Control Hub op waarschuwingen en los alle items op die u daar vindt.

                                                                                                                                                  2

                                                                                                                                                  Controleer de uitvoer van de syslog-server voor activiteit vanuit de implementatie voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  Neem contact op met de ondersteuning van Cisco.

                                                                                                                                                  Andere opmerkingen

                                                                                                                                                  Bekende problemen voor hybride databeveiliging

                                                                                                                                                  • Als u uw cluster voor hybride databeveiliging afsluit (door het te verwijderen in Control Hub of door alle knooppunten af te sluiten), uw configuratie-ISO-bestand verliest of toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst met personen die zijn gemaakt met toetsen van uw KMS. Dit geldt zowel voor proefperioden als voor productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en dringen er bij u op aan om uw HDS-services niet af te sluiten zodra ze actieve gebruikersaccounts afhandelen.

                                                                                                                                                  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een periode (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefperiode voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken tot er een time-out optreedt. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact opneemt voor coderingssleutels.

                                                                                                                                                    Hetzelfde gedrag treedt op wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle niet-proefgebruikers met bestaande ECDH-verbindingen met de vorige gegevensbeveiligingsservices blijven deze services gebruiken totdat er opnieuw wordt onderhandeld over de ECDH-verbinding (via time-out of door afmelden en weer aanmelden).

                                                                                                                                                  OpenSSL gebruiken om een PKCS12-bestand te genereren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS Setup Tool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten niet op de een of andere manier.

                                                                                                                                                  • Als u ervoor kiest om OpenSSL te gebruiken, bieden we deze procedure aan als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

                                                                                                                                                  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

                                                                                                                                                  • Maak een privésleutel aan.

                                                                                                                                                  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificeringsinstantie (CA).

                                                                                                                                                  1

                                                                                                                                                  Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Geef het certificaat weer als tekst en controleer de details.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Gebruik een teksteditor om een certificaatbundelbestand met de naam hdsnode-bundle.pem. Het bundelbestand moet het servercertificaat, eventuele tussentijdse CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Maak het .p12-bestand met de vriendelijke naam kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Controleer de gegevens van het servercertificaat.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Voer een wachtwoord in om de privésleutel te coderen, zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de lijnen bevatten friendlyName: kms-private-key.

                                                                                                                                                    Voorbeeld:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Ga terug naar Vereisten voor hybride databeveiliging voltooien. U gebruikt de hdsnode.p12 bestand en het wachtwoord dat u ervoor hebt ingesteld, in Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

                                                                                                                                                  Verkeer tussen de HDS-knooppunten en de cloud

                                                                                                                                                  Verkeer voor verzameling uitgaande statistieken

                                                                                                                                                  De knooppunten voor hybride databeveiliging sturen bepaalde statistieken naar de Webex-cloud. Dit zijn onder andere systeemstatistieken voor de maximale heap, gebruikte heap, CPU-belasting en draadtelling; statistieken over synchrone en asynchrone threads; statistieken over waarschuwingen met een drempelwaarde voor coderingsverbindingen, latentie of de lengte van een aanvraagwachtrij; statistieken over de gegevensopslag; en coderingsverbindingsstatistieken. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (gescheiden van het verzoekkanaal).

                                                                                                                                                  Inkomend verkeer

                                                                                                                                                  De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer vanuit de Webex-cloud:

                                                                                                                                                  • Coderingsverzoeken van clients die door de coderingsservice worden gerouteerd

                                                                                                                                                  • Upgrades naar de knooppuntsoftware

                                                                                                                                                  Squid-proxy's configureren voor hybride databeveiliging

                                                                                                                                                  Websocket kan geen verbinding maken via de Squid Proxy

                                                                                                                                                  Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de instelling van websocket ( wss:) verbindingen die Hybride databeveiliging vereist. Deze secties bieden richtlijnen voor het configureren van verschillende versies van Squid om te negeren wss: verkeer voor de goede werking van de diensten.

                                                                                                                                                  Inktvis 4 en 5

                                                                                                                                                  Voeg de on_unsupported_protocol richtlijn tot squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Pijlinktvis 3.5.27

                                                                                                                                                  We hebben hybride databeveiliging met succes getest met de volgende regels toegevoegd aan squid.conf. Deze regels kunnen worden gewijzigd bij het ontwikkelen van functies en het bijwerken van de Webex-cloud.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Voorwoord

                                                                                                                                                  Nieuwe en gewijzigde informatie

                                                                                                                                                  Datum

                                                                                                                                                  Aangebrachte wijzigingen

                                                                                                                                                  20 oktober 2023

                                                                                                                                                  07 augustus 2023

                                                                                                                                                  23 mei 2023

                                                                                                                                                  06 december 2022

                                                                                                                                                  23 november 2022

                                                                                                                                                  13 oktober 2021

                                                                                                                                                  Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker Desktop.

                                                                                                                                                  24 juni 2021

                                                                                                                                                  U kunt het bestand met de privésleutel en de CSR opnieuw gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie.

                                                                                                                                                  30 april 2021

                                                                                                                                                  De VM-vereiste voor lokale harde schijfruimte is gewijzigd in 30 GB. Zie Vereisten voor virtuele host voor meer informatie.

                                                                                                                                                  24 februari 2021

                                                                                                                                                  De HDS-installatietool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO maken voor de HDS-hosts voor meer informatie.

                                                                                                                                                  2 februari 2021

                                                                                                                                                  HDS kan nu worden uitgevoerd zonder een gemonteerd ISO-bestand. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  11 januari 2021

                                                                                                                                                  Informatie toegevoegd over het hulpprogramma HDS-instellingen en proxy's om een configuratie-ISO voor de HDS-hosts te maken.

                                                                                                                                                  13 oktober 2020

                                                                                                                                                  Bijgewerkte Installatiebestanden downloaden.

                                                                                                                                                  8 oktober 2020

                                                                                                                                                  Configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt.

                                                                                                                                                  14 augustus 2020

                                                                                                                                                  De configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces.

                                                                                                                                                  5 augustus 2020

                                                                                                                                                  Bijgewerkte Test uw implementatie voor hybride databeveiliging voor wijzigingen in logboekberichten.

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om het maximale aantal hosts te verwijderen.

                                                                                                                                                  16 juni 2020

                                                                                                                                                  Bijgewerkt Een knooppunt verwijderen voor wijzigingen in de gebruikersinterface van Control Hub.

                                                                                                                                                  4 juni 2020

                                                                                                                                                  De ISO voor configuratie maken voor de HDS-hosts is bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk hebt ingesteld.

                                                                                                                                                  29 mei 2020

                                                                                                                                                  Bijgewerkt: maak een configuratie-ISO voor de HDS-hosts om aan te geven dat u ook TLS kunt gebruiken met SQL Server-databases, gebruikersgebruikerswijzigingen en andere verduidelijkingen.

                                                                                                                                                  5 mei 2020

                                                                                                                                                  De vereisten voor de virtuele host zijn bijgewerkt om de nieuwe vereisten voor ESXi 6.5 weer te geven.

                                                                                                                                                  21 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met nieuwe Americas CI-hosts.

                                                                                                                                                  1 april 2020

                                                                                                                                                  Bijgewerkte Externe connectiviteitsvereisten met informatie over regionale CI-hosts.

                                                                                                                                                  20 februari 2020Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met informatie over het nieuwe optionele scherm Geavanceerde instellingen in de HDS-installatietool.
                                                                                                                                                  4 februari 2020Proxyserververeisten bijgewerkt.
                                                                                                                                                  16 december 2019De vereiste voor geblokkeerde externe DNS-resolutiemodus is verduidelijkt om te werken in de vereisten voor de proxyserver.
                                                                                                                                                  19 november 2019

                                                                                                                                                  Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende gedeelten:

                                                                                                                                                  8 november 2019

                                                                                                                                                  U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van erna.

                                                                                                                                                  De volgende gedeelten zijn dienovereenkomstig bijgewerkt:


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  6 september 2019

                                                                                                                                                  Standaard SQL-server toegevoegd aan vereisten voor databaseserver.

                                                                                                                                                  29 augustus 2019Bijlage Squid-proxy's configureren voor hybride databeveiliging toegevoegd met richtlijnen voor het configureren van squid-proxy's om websocketverkeer te negeren voor een goede werking.
                                                                                                                                                  20 augustus 2019

                                                                                                                                                  Er zijn gedeelten toegevoegd en bijgewerkt voor proxyondersteuning voor communicatie van knooppunten voor hybride databeveiliging naar de Webex-cloud.

                                                                                                                                                  Zie het Help-artikel Proxy-ondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie.

                                                                                                                                                  13 juni 2019Bijgewerkte Trial to Production Task Flow met een herinnering om de HdsTrialGroup groepsobject voordat een proefperiode wordt gestart als uw organisatie adreslijstsynchronisatie gebruikt.
                                                                                                                                                  6 maart 2019
                                                                                                                                                  28 februari 2019
                                                                                                                                                  • De hoeveelheid lokale harde schijfruimte per server die u opzij moet zetten bij het voorbereiden van de virtuele hosts die de knooppunten voor hybride databeveiliging worden, van 50 GB tot 20 GB, is gecorrigeerd om de grootte van de schijf weer te geven die door de OVA wordt gemaakt.

                                                                                                                                                  26 februari 2019
                                                                                                                                                  • Knooppunten voor hybride databeveiliging ondersteunen nu gecodeerde verbindingen met PostgreSQL-databaseservers en gecodeerde logboekverbindingen met een TLS-compatibele syslog-server. Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met instructies.

                                                                                                                                                  • De bestemmings-URL's zijn verwijderd uit de tabel 'Vereisten voor internetconnectiviteit voor hybride gegevensbeveiligingsknooppunt VM's'. De tabel verwijst nu naar de lijst die wordt bijgehouden in de tabel 'Aanvullende URL's voor hybride services van Webex Teams' van Netwerkvereisten voor Webex Teams-services.

                                                                                                                                                  24 januari 2019

                                                                                                                                                  • Hybride databeveiliging ondersteunt nu Microsoft SQL Server als database. SQL Server Always On (Always On Failover Clusters en Always on Availability Groups) wordt ondersteund door de JDBC-stuurprogramma's die worden gebruikt in hybride databeveiliging. Er is inhoud toegevoegd met betrekking tot implementatie met SQL Server.


                                                                                                                                                     

                                                                                                                                                    Ondersteuning voor Microsoft SQL Server is alleen bedoeld voor nieuwe implementaties van Hybride databeveiliging. We ondersteunen momenteel geen migratie van gegevens van PostgreSQL naar Microsoft SQL Server in een bestaande implementatie.

                                                                                                                                                  5 november 2018
                                                                                                                                                  19 oktober 2018

                                                                                                                                                  31 juli 2018

                                                                                                                                                  21 mei 2018

                                                                                                                                                  Gewijzigde terminologie om de rebranding van Cisco Spark weer te geven:

                                                                                                                                                  • Cisco Spark hybride databeveiliging is nu hybride databeveiliging.

                                                                                                                                                  • De Cisco Spark-app is nu de Webex-app.

                                                                                                                                                  • De Cisco Collaboraton Cloud is nu de Webex-cloud.

                                                                                                                                                  11 april 2018
                                                                                                                                                  22 februari 2018
                                                                                                                                                  15 februari 2018
                                                                                                                                                  • In de tabel X.509-certificaatvereisten is gespecificeerd dat het certificaat geen jokercertificaat kan zijn en dat de KMS het CN-domein gebruikt, niet een domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  18 januari 2018

                                                                                                                                                  2 november 2017

                                                                                                                                                  • Adreslijstsynchronisatie van de HdsTrialGroup is verduidelijkt.

                                                                                                                                                  • Vaste instructies voor het uploaden van het ISO-configuratiebestand voor montage op de VM-knooppunten.

                                                                                                                                                  18 augustus 2017

                                                                                                                                                  Voor het eerst gepubliceerd

                                                                                                                                                  Aan de slag met hybride databeveiliging

                                                                                                                                                  Overzicht van hybride databeveiliging

                                                                                                                                                  Vanaf dag één is gegevensbeveiliging de belangrijkste focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end inhoudsversleuteling, mogelijk gemaakt door Webex -app-clients die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografische sleutels die clients gebruiken om berichten en bestanden dynamisch te versleutelen en ontsleutelen.

                                                                                                                                                  Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride gegevensbeveiliging verplaatst het KMS en andere beveiligingsgerelateerde functies naar het bedrijfsgegevens , zodat niemand anders dan u de sleutels heeft tot uw versleutelde inhoud.

                                                                                                                                                  Architectuur beveiligingsgebied

                                                                                                                                                  De Webex-cloudarchitectuur scheidt verschillende soorten service in afzonderlijke realms of vertrouwensdomeinen, zoals hieronder wordt weergegeven.

                                                                                                                                                  Scheidingsgebieden (zonder hybride databeveiliging)

                                                                                                                                                  Laten we eerst eens kijken naar deze zuivere cloudcase, waarin Cisco alle functies in zijn clouddomeinen aanbiedt om meer inzicht te krijgen in hybride databeveiliging. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks kunnen worden gecorreleerd met hun persoonlijke informatie zoals e-mailadres, is logisch en fysiek gescheiden van de beveiligingsrealm in datacenter B. Beide zijn op hun beurt gescheiden van de realm waar versleutelde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

                                                                                                                                                  In dit diagram is de client de Webex-app die wordt uitgevoerd op de laptop van een gebruiker en is deze geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

                                                                                                                                                  1. De client maakt een veilige verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel om het bericht te versleutelen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

                                                                                                                                                  2. Het bericht wordt gecodeerd voordat het de client verlaat. De klant stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

                                                                                                                                                  3. Het gecodeerde bericht wordt verzonden naar de nalevingsservice voor nalevingscontroles.

                                                                                                                                                  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

                                                                                                                                                  Wanneer u hybride databeveiliging implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de realms van Cisco.

                                                                                                                                                  Samenwerken met andere organisaties

                                                                                                                                                  Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, routeert uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS te krijgen en stuurt de sleutel vervolgens terug naar uw gebruiker op het oorspronkelijke kanaal.

                                                                                                                                                  De KMS-service die wordt uitgevoerd in organisatie A valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw implementatie voor hybride databeveiliging.

                                                                                                                                                  Verwachtingen voor het implementeren van hybride databeveiliging

                                                                                                                                                  Een implementatie van hybride databeveiliging vereist een aanzienlijke klantbetrokkenheid en een bewustzijn van de risico's van het bezit van coderingssleutels.

                                                                                                                                                  Als u hybride databeveiliging wilt implementeren, moet u het volgende opgeven:

                                                                                                                                                  Volledig verlies van de configuratie-ISO die u maakt voor hybride databeveiliging of de database die u levert, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers inhoud van de ruimte en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar alleen nieuwe inhoud is zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

                                                                                                                                                  • De back-up en het herstel van de database en de configuratie-ISO beheren.

                                                                                                                                                  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing in de databaseschijf of een ramp met het datacenter.


                                                                                                                                                   

                                                                                                                                                  Er is geen mechanisme om sleutels na een HDS-implementatie terug naar de cloud te verplaatsen.

                                                                                                                                                  Installatieproces op hoog niveau

                                                                                                                                                  Dit document behandelt het instellen en beheren van een implementatie voor hybride databeveiliging:

                                                                                                                                                  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset gebruikers in de proefmodus en, zodra uw tests zijn voltooid, het verplaatsen naar productie. Hiermee wordt de hele organisatie geconverteerd om uw cluster voor hybride databeveiliging te gebruiken voor beveiligingsfuncties.

                                                                                                                                                    De installatie-, proef- en productiefasen worden in de volgende drie hoofdstukken in detail besproken.

                                                                                                                                                  • Uw implementatie voor hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch voortdurende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig ondersteuning van Cisco inschakelen. U kunt meldingen op het scherm gebruiken en op e-mail gebaseerde waarschuwingen instellen in Control Hub.

                                                                                                                                                  • Algemene waarschuwingen, stappen voor probleemoplossing en bekende problemen begrijpen: als u problemen ondervindt bij het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  In uw bedrijfsdatacenter implementeert u hybride databeveiliging als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

                                                                                                                                                  Tijdens het installatieproces bieden we u het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt monteert. Het cluster Hybride databeveiliging gebruikt de door u geleverde Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de details van de Syslogd- en databaseverbinding in de HDS-installatietool.)

                                                                                                                                                  Implementatiemodel voor hybride databeveiliging

                                                                                                                                                  Het minimumaantal knooppunten dat u in een cluster kunt hebben is twee. We raden ten minste drie aan en u kunt er maximaal vijf hebben. Als u meerdere knooppunten hebt, wordt de service niet onderbroken tijdens een software-upgrade of andere onderhoudsactiviteit op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

                                                                                                                                                  Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en logboekactiviteit op dezelfde syslog-server. De knooppunten zelf zijn stateloos, en behandelen belangrijke verzoeken in round-robin mode, zoals geregisseerd door de cloud.

                                                                                                                                                  Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt buiten gebruik wilt stellen, kunt u de registratie ongedaan maken en later opnieuw registreren, indien nodig.

                                                                                                                                                  We ondersteunen slechts één cluster per organisatie.

                                                                                                                                                  Proefmodus voor hybride databeveiliging

                                                                                                                                                  Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u dit eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.

                                                                                                                                                  Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de pilootgebruikers en alle gebruikers met wie ze tijdens de proefperiode interactie hebben gehad door nieuwe ruimten te maken, de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.

                                                                                                                                                  Als u ervan overtuigd bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilootgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, bijvoorbeeld om noodherstel uit te voeren, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilootgebruikers voor de nieuwe proefperiode instellen voordat u teruggaat naar de productiemodus. Of gebruikers op dit moment toegang tot gegevens behouden, hangt af van het feit of u back-ups van de sleutelgegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster hebt onderhouden.

                                                                                                                                                  Standby-datacenter voor noodherstel

                                                                                                                                                  Tijdens de implementatie stelt u een beveiligd stand-bydatacenter in. In het geval van een ramp met een datacenter kunt u uw implementatie handmatig overzetten naar het stand-bydatacenter.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Handmatige failover naar stand-bydatacenter

                                                                                                                                                  De databases van de actieve en stand-by datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is om de failover uit te voeren, tot een minimum wordt beperkt. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten zijn geregistreerd bij de organisatie, maar geen verkeer afhandelen. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van de HDS-software.


                                                                                                                                                   

                                                                                                                                                  De actieve knooppunten voor hybride databeveiliging moeten altijd in hetzelfde datacenter zijn als de actieve databaseserver.

                                                                                                                                                  Standby-datacenter instellen voor noodherstel

                                                                                                                                                  Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Het stand-bydatacenter moet de productieomgeving van VM's en een back-up PostgreSQL- of Microsoft SQL Server-database weerspiegelen. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. (Zie Standby Data Center for Disaster Recovery voor een overzicht van dit failovermodel.)

                                                                                                                                                  • Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database met actieve en passieve clusterknooppunten.

                                                                                                                                                  1

                                                                                                                                                  Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.


                                                                                                                                                   

                                                                                                                                                  Het ISO-bestand moet een kopie zijn van het originele ISO-bestand van het primaire datacenter waarop de volgende configuratieupdates moeten worden uitgevoerd.

                                                                                                                                                  2

                                                                                                                                                  Klik na het configureren van de Syslogd-server op Geavanceerde instellingen

                                                                                                                                                  3

                                                                                                                                                  Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar wordt er geen verkeer afgehandeld.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

                                                                                                                                                  5

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  6

                                                                                                                                                  Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken..

                                                                                                                                                  7

                                                                                                                                                  Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.


                                                                                                                                                   

                                                                                                                                                  Zorg ervoor dat Connected en Connect bij ingeschakeld zijn ingeschakeld zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

                                                                                                                                                  8

                                                                                                                                                  Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn.

                                                                                                                                                  9

                                                                                                                                                  Herhaal het proces voor elk knooppunt in het stand-bydatacenter.


                                                                                                                                                   

                                                                                                                                                  Controleer de syslogs om te controleren of de knooppunten zich in de passieve modus bevinden. U moet het bericht 'KMS geconfigureerd in passieve modus' in de syslogs kunnen bekijken.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Na het configureren passiveMode in het ISO-bestand en opslaan, kunt u een andere kopie van het ISO-bestand maken zonder de passiveMode configureren en opslaan op een veilige locatie. Deze kopie van het ISO-bestand zonder passiveMode geconfigureerd kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met behulp van het stand-bydatacenter voor de gedetailleerde failoverprocedure.

                                                                                                                                                  Proxyondersteuning

                                                                                                                                                  Hybride databeveiliging ondersteunt expliciete, transparante en niet-inspecterende proxy's. U kunt deze proxy's aan uw implementatie koppelen zodat u het verkeer van de onderneming naar de cloud kunt beveiligen en bewaken. U kunt een platformbeheerinterface op de knooppunten gebruiken voor certificaatbeheer en om de algehele verbindingsstatus te controleren nadat u de proxy op de knooppunten hebt ingesteld.

                                                                                                                                                  De knooppunten voor hybride databeveiliging ondersteunen de volgende proxyopties:

                                                                                                                                                  • Geen proxy: de standaardinstelling als u de HDS-knooppuntconfiguratie Vertrouwensarchief en proxy niet gebruikt om een proxy te integreren. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante niet-inspecterende proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaatupdate vereist.

                                                                                                                                                  • Transparante tunneling of inspectie van proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP- of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).

                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welk proxyserver- en verificatieschema u moet gebruiken. Als u een expliciete proxy wilt configureren, moet u de volgende informatie op elk knooppunt invoeren:

                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

                                                                                                                                                      • HTTP: geeft alle verzoeken weer die de client verzendt en beheert deze.

                                                                                                                                                      • HTTPS: biedt een kanaal naar de server. De client ontvangt het servercertificaat en valideert het.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar als u HTTPS selecteert als proxyprotocol.

                                                                                                                                                        Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.

                                                                                                                                                  Voorbeeld van knooppunten voor hybride databeveiliging en proxy

                                                                                                                                                  In dit diagram ziet u een voorbeeldverbinding tussen hybride databeveiliging, netwerk en een proxy. Voor de opties voor transparante inspectie en HTTPS expliciete inspectie proxy moet hetzelfde hoofdcertificaat worden geïnstalleerd op de proxy en op de knooppunten voor hybride databeveiliging.

                                                                                                                                                  Geblokkeerde externe DNS-resolutiemodus (expliciete proxyconfiguraties)

                                                                                                                                                  Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. In implementaties met expliciete proxyconfiguraties die geen externe DNS-resolutie voor interne clients toestaan, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie als het knooppunt de DNS-servers niet kan opvragen. In deze modus kunnen knooppuntregistratie en andere proxyverbindingstests worden voortgezet.

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  Vereisten voor hybride databeveiliging

                                                                                                                                                  Vereisten voor Cisco Webex-licenties

                                                                                                                                                  Hybride databeveiliging implementeren:

                                                                                                                                                  Vereisten voor Docker Desktop

                                                                                                                                                  Voordat u uw HDS-knooppunten installeert, hebt u Docker Desktop nodig om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie heeft mogelijk een betaald abonnement voor Docker Desktop nodig. Voor meer informatie raadpleegt u het Docker-blogbericht ' Docker werkt onze productabonnementen bij en verlengt deze ".

                                                                                                                                                  Vereisten voor X.509-certificaten

                                                                                                                                                  De certificaatketen moet aan de volgende vereisten voldoen:

                                                                                                                                                  Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

                                                                                                                                                  Vereiste

                                                                                                                                                  Details

                                                                                                                                                  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

                                                                                                                                                  Standaard vertrouwen we de CA’s in de Mozilla lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Bevat een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

                                                                                                                                                  • Is geen jokercertificaat

                                                                                                                                                  De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die uw organisatie weergeeft, bijvoorbeeld: hds.company.com.

                                                                                                                                                  De algemene naam mag geen * (jokerteken) bevatten.

                                                                                                                                                  De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren bij clients van de Webex-app. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

                                                                                                                                                  Zodra u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat kan worden toegepast op zowel de proefperiode- als productie-implementaties.

                                                                                                                                                  • Niet-SHA1 handtekening

                                                                                                                                                  De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

                                                                                                                                                  • Geformatteerd als een met een wachtwoord beveiligd PKCS #12-bestand

                                                                                                                                                  • Gebruik de vriendelijke naam van kms-private-key om het certificaat, de privésleutel en eventuele tussenliggende certificaten te taggen die moeten worden geüpload.

                                                                                                                                                  U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

                                                                                                                                                  U moet het wachtwoord invoeren wanneer u de HDS-installatietool uitvoert.

                                                                                                                                                  De KMS-software dwingt sleutelgebruik of uitgebreide beperkingen voor sleutelgebruik niet af. Sommige certificeringsinstanties vereisen dat uitgebreide belangrijke gebruiksbeperkingen worden toegepast op elk certificaat, zoals serververificatie. U mag de serververificatie of andere instellingen gebruiken.

                                                                                                                                                  Vereisten voor virtuele host

                                                                                                                                                  De virtuele hosts die u instelt als knooppunten voor hybride databeveiliging in uw cluster, hebben de volgende vereisten:

                                                                                                                                                  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich in hetzelfde beveiligde datacenter bevinden

                                                                                                                                                  • VMware ESXi 6.5 (of hoger) geïnstalleerd en actief.


                                                                                                                                                     

                                                                                                                                                    U moet upgraden als u een eerdere versie van ESXi hebt.

                                                                                                                                                  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

                                                                                                                                                  Vereisten voor databaseserver


                                                                                                                                                   

                                                                                                                                                  Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. Wanneer de HDS-toepassingen zijn geïnstalleerd, maakt u het databaseschema.

                                                                                                                                                  Er zijn twee opties voor databaseserver. De vereisten voor elk zijn als volgt:

                                                                                                                                                  Tabel 2. Vereisten databaseserver per type database

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

                                                                                                                                                  • SQL Server 2016, 2017 of 2019 (Enterprise of Standard) geïnstalleerd.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen)

                                                                                                                                                  De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL-server

                                                                                                                                                  Postgres JDBC driver 42.2.5

                                                                                                                                                  SQL JDBC-stuurprogramma van SQL Server 4.6

                                                                                                                                                  Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover Cluster Instances en Always On availability groups).

                                                                                                                                                  Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

                                                                                                                                                  Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

                                                                                                                                                  • De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

                                                                                                                                                  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees-/schrijftoegang hebben tot de database.

                                                                                                                                                  • De DNS-servers die u aan HDS-knooppunten levert, moeten uw Key Distribution Center (KDC) kunnen oplossen.

                                                                                                                                                  • U kunt de HDS-database-instantie op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een servicenaam registreren voor Kerberos-verbindingen.

                                                                                                                                                    De HDS-installatietool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens van uw ISO-configuratie om de SPN te construeren wanneer ze toegang aanvragen met Kerberos-verificatie.

                                                                                                                                                  Externe connectiviteitsvereisten

                                                                                                                                                  Configureer uw firewall om de volgende verbinding voor de HDS-toepassingen toe te staan:

                                                                                                                                                  App

                                                                                                                                                  Protocol

                                                                                                                                                  Poort

                                                                                                                                                  Richting van app

                                                                                                                                                  Bestemming

                                                                                                                                                  Knooppunten voor hybride databeveiliging

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS en WSS

                                                                                                                                                  • Webex-servers:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • Andere URL's die worden vermeld voor beveiliging van hybride gegevens in de tabel Aanvullende URL's voor hybride Webex-services met netwerkvereisten voor Webex-services

                                                                                                                                                  Hulpprogramma voor HDS-instellingen

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Uitgaande HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-hosts

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die inkomend zijn naar de knooppunten voor hybride databeveiliging, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients voor beheerdoeleinden toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22.

                                                                                                                                                  De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:

                                                                                                                                                  Regio

                                                                                                                                                  Host-URL's van Common Identity

                                                                                                                                                  Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Europese Unie

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Vereisten voor proxyserver

                                                                                                                                                  • We ondersteunen officieel de volgende proxyoplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride databeveiliging.

                                                                                                                                                    • Transparante proxy: Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Expliciete proxy: Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de oprichting van websocket verstoren (wss:) verbindingen. Zie Squid-proxy's configureren voor hybride databeveiliging voor meer informatie over dit probleem.

                                                                                                                                                  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

                                                                                                                                                    • Geen verificatie met HTTP of HTTPS

                                                                                                                                                    • Basisverificatie met HTTP of HTTPS

                                                                                                                                                    • Digestverificatie met alleen HTTPS

                                                                                                                                                  • Voor een transparante inspecterende proxy of een expliciete HTTPS-proxy moet u een kopie hebben van het hoofdcertificaat van de proxy. De implementatie-instructies in deze handleiding vertellen u hoe u de kopie kunt uploaden naar de vertrouwensarchieven van de knooppunten voor hybride databeveiliging.

                                                                                                                                                  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 te dwingen via de proxy te routeren.

                                                                                                                                                  • Proxy's die webverkeer inspecteren, kunnen de verbindingen met de websocket verstoren. Indien dit probleem zich voordoet, verkeer overslaan (niet inspecteren) naar wbx2.com en ciscospark.com zal het probleem oplossen.

                                                                                                                                                  Voldoen aan de vereisten voor hybride databeveiliging

                                                                                                                                                  Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
                                                                                                                                                  1

                                                                                                                                                  Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en ontvang de referenties van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

                                                                                                                                                  2

                                                                                                                                                  Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  3

                                                                                                                                                  Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt ten minste twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter zijn geplaatst en voldoen aan de vereisten in Vereisten voor virtuele host.

                                                                                                                                                  4

                                                                                                                                                  Bereid de databaseserver voor die zal fungeren als de belangrijkste gegevensopslag voor het cluster, overeenkomstig de vereisten voor de databaseserver. De databaseserver moet samen met de virtuele hosts in het beveiligde datacenter worden geplaatst.

                                                                                                                                                  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik de standaarddatabase niet. De HDS-toepassingen maken het databaseschema wanneer ze zijn geïnstalleerd.)

                                                                                                                                                  2. Verzamel de gegevens die de knooppunten gebruiken om met de databaseserver te communiceren:

                                                                                                                                                    • de hostnaam of het IP-adres (host) en de poort

                                                                                                                                                    • de naam van de database (dbname) voor key storage

                                                                                                                                                    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de database met sleutelopslag

                                                                                                                                                  5

                                                                                                                                                  Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben.

                                                                                                                                                  6

                                                                                                                                                  Stel een Syslog-host in om logboeken te verzamelen van de knooppunten in het cluster. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Maak een veilig back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.


                                                                                                                                                   

                                                                                                                                                  Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die worden gebruikt voor codering en decodering van inhoud, leidt het niet onderhouden van een operationele implementatie tot het ONHERSTELBARE VERLIES van die inhoud.

                                                                                                                                                  Clients van de Webex-app brengen hun sleutels in de cache, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen niet te voorkomen zijn, kunnen ze worden hersteld. Volledig verlies (geen back-ups beschikbaar) van de database of het ISO-configuratiebestand leidt echter tot niet-herstelbare klantgegevens. Van de beheerders van de knooppunten voor hybride databeveiliging wordt verwacht dat ze regelmatig back-ups van de database en het configuratie-ISO-bestand onderhouden, en dat ze bereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als er een catastrofale storing optreedt.

                                                                                                                                                  8

                                                                                                                                                  Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw hybride databeveiligingsknooppunten mogelijk maakt, zoals beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  9

                                                                                                                                                  Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft tot het besturingssysteem op http://127.0.0.1:8080.

                                                                                                                                                  U gebruikt het Docker-exemplaar om de HDS-installatietool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratie-informatie op voor alle knooppunten voor hybride databeveiliging. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker Desktop voor meer informatie.

                                                                                                                                                  Om de HDS-setuptool te installeren en uit te voeren, moet de lokale machine de connectiviteit hebben die wordt beschreven in Externe connectiviteitsvereisten.

                                                                                                                                                  10

                                                                                                                                                  Als u een proxy integreert met hybride databeveiliging, moet u ervoor zorgen dat deze voldoet aan de vereisten voor de proxyserver.

                                                                                                                                                  11

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, maakt u een groep in Active Directory met de naam HdsTrialGroup en pilootgebruikers toevoegen. De proefgroep kan maximaal 250 gebruikers hebben. Het HdsTrialGroup object moet worden gesynchroniseerd met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Als u een groepsobject wilt synchroniseren, selecteert u het in de van de directoryconnector Configuratie > menu Objectselectie. (Zie de Implementatiehandleiding voor Cisco Directoryconnector voor gedetailleerde instructies.)


                                                                                                                                                   

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Houd er bij het selecteren van pilootgebruikers rekening mee dat als u besluit de implementatie voor hybride databeveiliging permanent te deactiveren, alle gebruikers geen toegang meer hebben tot inhoud in de ruimten die door de pilootgebruikers zijn gemaakt. Het verlies wordt duidelijk zodra de apps van gebruikers hun in de cache opgeslagen kopieën van de inhoud vernieuwen.

                                                                                                                                                  Een cluster voor hybride databeveiliging instellen

                                                                                                                                                  Taakstroom implementatie hybride databeveiliging

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Uw omgeving voorbereiden

                                                                                                                                                  1

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  Download het OVA-bestand naar uw lokale computer voor later gebruik.

                                                                                                                                                  2

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Gebruik de HDS-installatietool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

                                                                                                                                                  3

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Maak een virtuele machine vanuit het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  4

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd ten tijde van de OVA-implementatie.

                                                                                                                                                  5

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  6

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u indien nodig het proxycertificaat toe aan het vertrouwensarchief.

                                                                                                                                                  7

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Registreer de VM bij de Cisco Webex-cloud als een knooppunt voor hybride databeveiliging.

                                                                                                                                                  8

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Voltooi de clusterinstelling.

                                                                                                                                                  9

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)

                                                                                                                                                  Totdat u een proefperiode start, genereren uw knooppunten een alarm dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  Installatiebestanden downloaden

                                                                                                                                                  In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). Je gebruikt dit bestand later in het installatieproces.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en klik vervolgens op Services.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik vervolgens op Instellen.

                                                                                                                                                  Als de kaart is uitgeschakeld of u deze niet ziet, neemt u contact op met uw accountteam of uw partnerorganisatie. Geef uw accountnummer en vraag of u uw organisatie wilt inschakelen voor hybride databeveiliging. Als u het accountnummer wilt vinden, klikt u op het tandwiel rechtsboven naast de naam van uw organisatie.


                                                                                                                                                   

                                                                                                                                                  U kunt de OVA ook op elk gewenst moment downloaden via het gedeelte Help op de pagina Instellingen. Klik op de kaart Hybride databeveiliging op Instellingen bewerken om de pagina te openen. Klik vervolgens op Hybride databeveiligingssoftware downloaden in het gedeelte Help.


                                                                                                                                                   

                                                                                                                                                  Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de nieuwste versie van het OVA-bestand downloadt.

                                                                                                                                                  3

                                                                                                                                                  Selecteer Nee om aan te geven dat u het knooppunt nog niet hebt ingesteld en klik vervolgens op Volgende.

                                                                                                                                                  Het OVA-bestand begint automatisch te downloaden. Sla het bestand op een locatie op uw computer op.
                                                                                                                                                  4

                                                                                                                                                  U kunt ook op Implementatiehandleiding openen klikken om te controleren of er een latere versie van deze handleiding beschikbaar is.

                                                                                                                                                  Een configuratie-ISO maken voor de HDS-hosts

                                                                                                                                                  Het installatieproces voor hybride databeveiliging maakt een ISO-bestand. Vervolgens gebruikt u de ISO om uw host voor hybride databeveiliging te configureren.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.

                                                                                                                                                    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5 opent. Deze tabel geeft enkele mogelijke omgevingsvariabelen:

                                                                                                                                                    Beschrijving

                                                                                                                                                    Variabele

                                                                                                                                                    HTTP-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy zonder verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy met verificatie

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de nieuwste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals:

                                                                                                                                                    • Aanmeldgegevens database

                                                                                                                                                    • Certificaatupdates

                                                                                                                                                    • Wijzigingen in het autorisatiebeleid

                                                                                                                                                  • Als u databaseverbindingen wilt versleutelen, stelt u uw PostgreSQL- of SQL Server-implementatie voor TLS in.

                                                                                                                                                  1

                                                                                                                                                  Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Met deze stap worden eerdere afbeeldingen van het HDS-configuratieprogramma opgeschoond. Als er geen eerdere afbeeldingen zijn, wordt een fout geretourneerd die u kunt negeren.

                                                                                                                                                  2

                                                                                                                                                  Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Voer bij de wachtwoordprompt deze hash in:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Download de nieuwste stabiele installatiekopie voor uw omgeving:

                                                                                                                                                  In normale omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  In FedRAMP-omgevingen:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:

                                                                                                                                                  • In normale omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In normale omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In FedRAMP-omgevingen zonder een proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • In FedRAMP-omgevingen met een HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

                                                                                                                                                  Gebruik een webbrowser om naar de localhost te gaan http://127.0.0.1:8080 en voer de gebruikersnaam van de klantbeheerder voor Control Hub in de prompt in.

                                                                                                                                                  De tool gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Het hulpprogramma geeft vervolgens de standaard aanmeldingsprompt weer.

                                                                                                                                                  7

                                                                                                                                                  Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de Control Hub-klantbeheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

                                                                                                                                                  8

                                                                                                                                                  Klik op de overzichtspagina van de installatietool op Aan de slag.

                                                                                                                                                  9

                                                                                                                                                  Op de pagina ISO Import hebt u de volgende opties:

                                                                                                                                                  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
                                                                                                                                                  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de browse en uploadt u het.
                                                                                                                                                  10

                                                                                                                                                  Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

                                                                                                                                                  • Als u nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat OK is, klikt u op Doorgaan.
                                                                                                                                                  • Als uw certificaat is verlopen of als u het wilt vervangen, selecteert u Nee voor Doorgaan met gebruik van HDS-certificaatketen en privésleutel uit vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
                                                                                                                                                  11

                                                                                                                                                  Voer het databaseadres en het account voor HDS in om toegang te krijgen tot uw belangrijke gegevensopslag:

                                                                                                                                                  1. Selecteer uw Database Type (PostgreSQL of Microsoft SQL Server).

                                                                                                                                                    Als u Microsoft SQL Server kiest, krijgt u een veld Verificatietype.

                                                                                                                                                  2. (Alleen Microsoft SQL Server) Selecteer uw verificatietype:

                                                                                                                                                    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam.

                                                                                                                                                    • Windows-verificatie: U hebt een Windows-account in de indeling nodig username@DOMAIN in het veld Gebruikersnaam.

                                                                                                                                                  3. Voer het adres van de databaseserver in het formulier in <hostname>:<port> of <IP-address>:<port>.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    dbhost.example.org:1433 of 198.51.100.17:1433

                                                                                                                                                    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

                                                                                                                                                    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

                                                                                                                                                  4. Voer de databasenaam in.

                                                                                                                                                  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten in de database voor sleutelopslag.

                                                                                                                                                  12

                                                                                                                                                  Selecteer een TLS-databaseverbindingsmodus:

                                                                                                                                                  Mode

                                                                                                                                                  Beschrijving

                                                                                                                                                  Voorkeur voor TLS (standaardoptie)

                                                                                                                                                  Voor HDS-knooppunten is geen TLS vereist om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

                                                                                                                                                  TLS vereisen

                                                                                                                                                  HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  TLS vereisen en certificaatondertekenaar verifiëren


                                                                                                                                                   

                                                                                                                                                  Deze modus is niet van toepassing op SQL Server-databases.

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik de hoofdcertificaat van database control onder de vervolgkeuzelijst om het hoofdcertificaat voor deze optie te uploaden.

                                                                                                                                                  TLS vereisen en certificaatondertekenaar en hostnaam verifiëren

                                                                                                                                                  • HDS-knooppunten maken alleen verbinding als de databaseserver TLS kan onderhandelen.

                                                                                                                                                  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het basiscertificaat van de database. Als ze niet overeenkomen, verbreekt het knooppunt de verbinding.

                                                                                                                                                  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databasehost en -poort. De namen moeten exact overeenkomen, anders verbreekt het knooppunt de verbinding.

                                                                                                                                                  Gebruik de hoofdcertificaat van database control onder de vervolgkeuzelijst om het hoofdcertificaat voor deze optie te uploaden.

                                                                                                                                                  Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-installatietool de TLS-verbinding met de databaseserver. Het hulpprogramma verifieert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, geeft het hulpprogramma een foutmelding waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en wilt doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de HDS-installatietool niet met succes kan worden getest.)

                                                                                                                                                  13

                                                                                                                                                  Configureer uw Syslogd-server op de pagina Systeemlogboeken:

                                                                                                                                                  1. Voer de URL van de syslog-server in.

                                                                                                                                                    Als de server niet DNS-oplosbaar is vanuit de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

                                                                                                                                                    Voorbeeld:
                                                                                                                                                    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij Syslogd-host 10.92.43.23 op UDP-poort 514.
                                                                                                                                                  2. Als u uw server instelt om TLS-codering te gebruiken, controleert u Is uw syslog-server geconfigureerd voor SSL-codering?.

                                                                                                                                                    Als u dit selectievakje inschakelt, moet u een TCP-URL invoeren, zoals tcp://10.92.43.23:514.

                                                                                                                                                  3. Kies in de vervolgkeuzelijst Beëindiging syslog-record kiezen de juiste instelling voor uw ISO-bestand: Kies of Newline wordt gebruikt voor Graylog en Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Selecteer deze keuze voor Graylog en Rsyslog TCP.

                                                                                                                                                  4. Klik op Doorgaan.

                                                                                                                                                  14

                                                                                                                                                  (Optioneel) U kunt de standaardwaarde voor bepaalde parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u wilt wijzigen:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klik op Doorgaan op het scherm Wachtwoord serviceaccounts opnieuw instellen.

                                                                                                                                                  Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u wilt deze opnieuw instellen om eerdere ISO-bestanden ongeldig te maken.

                                                                                                                                                  16

                                                                                                                                                  Klik op ISO-bestand downloaden. Sla het bestand op een gemakkelijk te vinden locatie op.

                                                                                                                                                  17

                                                                                                                                                  Maak een back-up van het ISO-bestand op uw lokale systeem.

                                                                                                                                                  Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

                                                                                                                                                  18

                                                                                                                                                  Als u het installatieprogramma wilt afsluiten, typt u CTRL+C.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten voor herstel te maken of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het herstellen van de sleutels uit uw PostgreSQL- of Microsoft SQL Server-database is niet mogelijk.


                                                                                                                                                   

                                                                                                                                                  We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze kwijtraakt.

                                                                                                                                                  De HDS-host-OVA installeren

                                                                                                                                                  Gebruik deze procedure om een virtuele machine te maken vanuit het OVA-bestand.
                                                                                                                                                  1

                                                                                                                                                  Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

                                                                                                                                                  2

                                                                                                                                                  Selecteer File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

                                                                                                                                                  4

                                                                                                                                                  Op de Selecteer een naam en map pagina, voer een in Naam virtuele machine voor het knooppunt (bijvoorbeeld 'HDS_Node_1') kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Op de Een computerbron selecteren pagina, kies de bestemming compute resource en klik vervolgens op Volgende.

                                                                                                                                                  Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloondetails weergegeven.

                                                                                                                                                  6

                                                                                                                                                  Controleer de sjabloondetails en klik op Volgende.

                                                                                                                                                  7

                                                                                                                                                  Als u wordt gevraagd de resourceconfiguratie te kiezen op de Configuratie pagina, klik op 4 CPU en klik vervolgens op Volgende.

                                                                                                                                                  8

                                                                                                                                                  Op de Selecteer opslag pagina, klik op Volgende om de standaard schijfindeling en het VM-opslagbeleid te accepteren.

                                                                                                                                                  9

                                                                                                                                                  Op de Selecteer netwerken-pagina, kies de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

                                                                                                                                                  10

                                                                                                                                                  Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen:

                                                                                                                                                  • Hostnaam: voer de FQDN (hostnaam en domein) of een hostnaam met één woord in voor het knooppunt.

                                                                                                                                                     
                                                                                                                                                    • U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                    • Als u een succesvolle registratie bij de cloud wilt garanderen, gebruikt u alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld. Kapitalisatie wordt momenteel niet ondersteund.

                                                                                                                                                    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

                                                                                                                                                  • IP-adres— Voer het IP-adres in voor de interne interface van het knooppunt.

                                                                                                                                                     

                                                                                                                                                    Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  • Masker: voer het adres van het subnetmasker in de punt-decimale notatie in. Bijvoorbeeld 255.255.255.0.
                                                                                                                                                  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat als toegangspunt dient voor een ander netwerk.
                                                                                                                                                  • DNS-servers: voer een door komma's gescheiden lijst met DNS-servers in, die domeinnamen vertalen naar numerieke IP-adressen. (Maximaal 4 DNS-vermeldingen zijn toegestaan.)
                                                                                                                                                  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die in uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
                                                                                                                                                  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster bereikbaar zijn vanaf clients in uw netwerk voor administratieve doeleinden.

                                                                                                                                                  Indien gewenst kunt u de configuratie van de netwerkinstellingen overslaan en de stappen volgen in De hybride databeveiliging VM instellen om de instellingen vanaf de knooppuntconsole te configureren.


                                                                                                                                                   

                                                                                                                                                  De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 6.5. De optie is mogelijk niet beschikbaar in eerdere versies.

                                                                                                                                                  11

                                                                                                                                                  Klik met de rechtermuisknop op het knooppunt VM en kies Voeding > Voeding aan.

                                                                                                                                                  De software voor hybride databeveiliging is geïnstalleerd als gast op de VM-host. U kunt zich nu aanmelden bij de console en het knooppunt configureren.

                                                                                                                                                  Tips voor het oplossen van problemen

                                                                                                                                                  U kunt een vertraging van een paar minuten ervaren voordat de knooppuntcontainers naar boven komen. Er verschijnt een brugfirewallbericht op de console tijdens de eerste keer opstarten, tijdens welke u zich niet kunt aanmelden.

                                                                                                                                                  De VM voor hybride databeveiliging instellen

                                                                                                                                                  Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

                                                                                                                                                  1

                                                                                                                                                  Selecteer in de VMware vSphere-client uw knooppunt voor hybride databeveiliging VM en selecteer het tabblad Console.

                                                                                                                                                  De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldprompt niet wordt weergegeven, drukt u op Enter.
                                                                                                                                                  2

                                                                                                                                                  Gebruik de volgende standaardaanmelding en het volgende wachtwoord om u aan te melden en de aanmeldgegevens te wijzigen:

                                                                                                                                                  1. Aanmelden: admin

                                                                                                                                                  2. Wachtwoord: cisco

                                                                                                                                                  Aangezien u zich voor de eerste keer aanmeldt bij uw VM, moet u het beheerderswachtwoord wijzigen.

                                                                                                                                                  3

                                                                                                                                                  Als u de netwerkinstellingen al hebt geconfigureerd in Install the HDS Host OVA, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken.

                                                                                                                                                  4

                                                                                                                                                  Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund.

                                                                                                                                                  5

                                                                                                                                                  (Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om aan uw netwerkbeleid te voldoen.

                                                                                                                                                  U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

                                                                                                                                                  6

                                                                                                                                                  Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen van kracht worden.

                                                                                                                                                  De HDS-configuratie-ISO uploaden en koppelen

                                                                                                                                                  Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-installatietool.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Omdat het ISO-bestand de hoofdsleutel bevat, mag het alleen worden blootgesteld op een 'need to know'-basis, voor toegang door de VM's voor hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen die beheerders toegang hebben tot de gegevensopslag.

                                                                                                                                                  1

                                                                                                                                                  Upload het ISO-bestand vanaf uw computer:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

                                                                                                                                                  2. Klik in de hardwarelijst van het tabblad Configuratie op Opslag.

                                                                                                                                                  3. Klik in de lijst Datastores met de rechtermuisknop op de datastore voor uw VM's en klik op Browse Datastore.

                                                                                                                                                  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

                                                                                                                                                  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

                                                                                                                                                  6. Klik op Ja om de waarschuwing voor de upload-/downloadbewerking te accepteren en sluit het dialoogvenster Gegevensopslag.

                                                                                                                                                  2

                                                                                                                                                  Koppel het ISO-bestand:

                                                                                                                                                  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

                                                                                                                                                  2. Klik op OK om de waarschuwing voor beperkte bewerkingsopties te accepteren.

                                                                                                                                                  3. Klikken CD/DVD Drive 1, selecteer de optie om te koppelen vanuit een ISO-bestand voor de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

                                                                                                                                                  4. Controleer Connected en Connect bij ingeschakeld contact.

                                                                                                                                                  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Als uw IT-beleid dit vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.

                                                                                                                                                  Het HDS-knooppunt configureren voor proxyintegratie

                                                                                                                                                  Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride databeveiliging. Als u een transparante inspecterende proxy of een expliciete HTTPS-proxy kiest, kunt u de interface van het knooppunt gebruiken om het hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding controleren vanuit de interface en mogelijke problemen oplossen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  1

                                                                                                                                                  Voer de URL voor het instellen van het HDS-knooppunt in https://[HDS Node IP or FQDN]/setup voer in een webbrowser de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

                                                                                                                                                  2

                                                                                                                                                  Ga naar Trust Store & Proxy en kies een optie:

                                                                                                                                                  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante niet-inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om met een niet-inspecterende proxy te werken. Er is geen certificaatupdate vereist.
                                                                                                                                                  • Transparante inspecterende proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTPS-configuratiewijzigingen nodig voor de implementatie van hybride databeveiliging. De HDS-knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).
                                                                                                                                                  • Expliciete proxy: met expliciete proxy geeft u de client (HDS-knooppunten) aan welke proxyserver moet worden gebruikt. Deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
                                                                                                                                                    1. Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.

                                                                                                                                                    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.

                                                                                                                                                    3. Proxyprotocol: kies http (bekijkt en beheert alle aanvragen die van de client worden ontvangen) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

                                                                                                                                                    4. Verificatietype: kies uit de volgende verificatietypen:

                                                                                                                                                      • Geen: er is geen verdere verificatie vereist.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.

                                                                                                                                                        Beschikbaar voor HTTP- of HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.

                                                                                                                                                        Alleen beschikbaar voor HTTPS-proxy's.

                                                                                                                                                        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

                                                                                                                                                  Volg de volgende stappen voor een transparante inspecterende proxy, een expliciete HTTP-proxy met basisverificatie of een expliciete HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klik op Upload a Root Certificate or End Entity Certificate (Een hoofdcertificaat uploaden of een entiteitscertificaat beëindigen) en navigeer vervolgens naar een hoofdcertificaat voor de proxy kiezen.

                                                                                                                                                  Het certificaat is geüpload maar nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijl van de chevron bij de naam van de certificaatverstrekker voor meer informatie of klik op Verwijderen als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

                                                                                                                                                  4

                                                                                                                                                  Klik op Proxyverbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

                                                                                                                                                  Als de verbindingstest mislukt, ziet u een foutbericht met de reden en hoe u het probleem kunt oplossen.

                                                                                                                                                  Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken. Deze voorwaarde wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de modus Geblokkeerde externe DNS-resolutie. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u Geblokkeerde externe DNS-resolutiemodus uitschakelen.

                                                                                                                                                  5

                                                                                                                                                  Nadat de verbindingstest is verlopen en de expliciete proxy alleen is ingesteld op https, schakelt u de schakelaar in op Alle poort 443/444-https-verzoeken van dit knooppunt routeren via de expliciete proxy. Deze instelling heeft 15 seconden nodig om van kracht te worden.

                                                                                                                                                  6

                                                                                                                                                  Klik op Alle certificaten installeren in de Trust Store (wordt weergegeven voor een expliciete HTTPS-proxy of een transparante inspecterende proxy) of Opnieuw opstarten (wordt weergegeven voor een expliciete HTTP-proxy), lees de prompt en klik vervolgens op Installeren als u klaar bent.

                                                                                                                                                  Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

                                                                                                                                                  7

                                                                                                                                                  Nadat het knooppunt opnieuw is opgestart, meldt u zich indien nodig opnieuw aan en opent u de pagina Overzicht om de connectiviteitscontroles te controleren en ervoor te zorgen dat ze allemaal groen zijn.

                                                                                                                                                  Met de proxyverbindingscontrole wordt alleen een subdomein van webex.com getest. Als er verbindingsproblemen zijn, is een algemeen probleem dat sommige van de clouddomeinen die in de installatie-instructies worden vermeld, worden geblokkeerd bij de proxy.

                                                                                                                                                  Het eerste knooppunt in het cluster registreren

                                                                                                                                                  Voor deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in de Hybride databeveiliging VM instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

                                                                                                                                                  Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd om redundantie te bieden.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Selecteer Services in het menu links op het scherm.

                                                                                                                                                  3

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellen.

                                                                                                                                                  De pagina Knooppunt voor hybride databeveiliging registreren wordt weergegeven.
                                                                                                                                                  4

                                                                                                                                                  Selecteer Ja om aan te geven dat u het knooppunt hebt ingesteld en klaar bent om het te registreren. Klik vervolgens op Volgende.

                                                                                                                                                  5

                                                                                                                                                  Voer in het eerste veld een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

                                                                                                                                                  We raden u aan een cluster een naam te geven op basis van waar de knooppunten van het cluster zich geografisch bevinden. Voorbeelden: "San Francisco" of "New York" of "Dallas"

                                                                                                                                                  6

                                                                                                                                                  Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                  Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein dat u hebt gebruikt in De VM voor hybride databeveiliging instellen.

                                                                                                                                                  Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex.
                                                                                                                                                  7

                                                                                                                                                  Klik op Ga naar knooppunt.

                                                                                                                                                  8

                                                                                                                                                  Klik in het waarschuwingsbericht op Doorgaan.

                                                                                                                                                  Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  9

                                                                                                                                                  Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                  Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  10

                                                                                                                                                  Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Op de pagina Hybride databeveiliging wordt het nieuwe cluster weergegeven met het knooppunt dat u hebt geregistreerd. Het knooppunt downloadt automatisch de nieuwste software vanuit de cloud.

                                                                                                                                                  Meer knooppunten maken en registreren

                                                                                                                                                  Als u extra knooppunten aan uw cluster wilt toevoegen, maakt u gewoon extra VM's en monteert u hetzelfde configuratie-ISO-bestand en registreert u het knooppunt. We raden u aan ten minste 3 knooppunten te hebben.

                                                                                                                                                   

                                                                                                                                                  Op dit moment zijn de back-up-VM's die u hebt gemaakt in Voldoen aan de vereisten voor hybride databeveiliging stand-byhosts die alleen worden gebruikt in het geval van noodherstel. Ze zijn tot die tijd niet geregistreerd bij het systeem. Zie Noodherstel met behulp van het stand-bydatacenter voor meer informatie.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.

                                                                                                                                                  • Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Maak een nieuwe virtuele machine vanuit de OVA en herhaal de stappen in Installeer de HDS-host-OVA.

                                                                                                                                                  2

                                                                                                                                                  Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De hybride databeveiliging instellen.

                                                                                                                                                  3

                                                                                                                                                  Herhaal op de nieuwe VM de stappen in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Configureer het HDS-knooppunt voor proxyintegratie indien nodig voor het nieuwe knooppunt.

                                                                                                                                                  5

                                                                                                                                                  Registreer het knooppunt.

                                                                                                                                                  1. Selecteer in https://admin.webex.comServices in het menu links op het scherm.

                                                                                                                                                  2. Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik op Resources.

                                                                                                                                                    De pagina Resources voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3. Klik op Resource toevoegen.

                                                                                                                                                  4. Selecteer in het eerste veld de naam van uw bestaande cluster.

                                                                                                                                                  5. Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende.

                                                                                                                                                    Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex-cloud.
                                                                                                                                                  6. Klik op Ga naar knooppunt.

                                                                                                                                                    Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u machtigingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
                                                                                                                                                  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

                                                                                                                                                    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
                                                                                                                                                  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub.

                                                                                                                                                  Uw knooppunt is geregistreerd. Houd er rekening mee dat totdat u een proefperiode start, uw knooppunten een alarm genereren dat aangeeft dat uw service nog niet is geactiveerd.

                                                                                                                                                  De volgende stappen

                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk)
                                                                                                                                                  Een proefperiode uitvoeren en overgaan naar productie

                                                                                                                                                  Doorstroom proefperiode naar productietaak

                                                                                                                                                  Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers toevoegen en deze gaan gebruiken om uw implementatie te testen en te verifiëren ter voorbereiding op de overgang naar productie.

                                                                                                                                                  1

                                                                                                                                                  Indien van toepassing, synchroniseer de HdsTrialGroup groepsobject.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  2

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd.

                                                                                                                                                  3

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Controleer of belangrijke aanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  4

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Controleer de status en stel e-mailmeldingen in voor alarmen.

                                                                                                                                                  5

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  6

                                                                                                                                                  Voltooi de onderzoeksfase met een van de volgende acties:

                                                                                                                                                  Proefperiode activeren

                                                                                                                                                  Voordat u begint

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup groepsobject voor synchronisatie met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij https://admin.webex.com en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Servicestatus op Proefperiode starten.

                                                                                                                                                  De servicestatus verandert in de proefmodus.
                                                                                                                                                  4

                                                                                                                                                  Klik op Gebruikers toevoegen en voer het e-mailadres van een of meer gebruikers in om uw knooppunten voor hybride databeveiliging te gebruiken voor codering- en indexeringsservices.

                                                                                                                                                  (Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory om de testgroep te beheren, HdsTrialGroup.)

                                                                                                                                                  Uw implementatie voor hybride databeveiliging testen

                                                                                                                                                  Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging te testen.

                                                                                                                                                  Voordat u begint

                                                                                                                                                  • Stel uw implementatie voor hybride databeveiliging in.

                                                                                                                                                  • Activeer de proefperiode en voeg verschillende proefgebruikers toe.

                                                                                                                                                  • Zorg ervoor dat u toegang hebt tot de syslog om te controleren of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1

                                                                                                                                                  Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilootgebruikers en maak vervolgens een ruimte en nodig ten minste één pilootgebruiker en één niet-pilootgebruiker uit.


                                                                                                                                                   

                                                                                                                                                  Als u de implementatie van hybride databeveiliging deactiveert, is inhoud in ruimten die pilootgebruikers maken niet meer toegankelijk zodra de in de client opgeslagen kopieën van de coderingssleutels zijn vervangen.

                                                                                                                                                  2

                                                                                                                                                  Verzend berichten naar de nieuwe ruimte.

                                                                                                                                                  3

                                                                                                                                                  Controleer de syslog-uitvoer om te controleren of de sleutelaanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging.

                                                                                                                                                  1. Als u wilt controleren of een gebruiker eerst een veilig kanaal naar de KMS heeft ingesteld, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden, zoals de volgende (identificatiegegevens ingekort voor leesbaarheid):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Om te controleren of een gebruiker een bestaande sleutel van het KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Om te controleren of een gebruiker een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Als u wilt controleren of een gebruiker die het maken van een nieuw KMS Resource Object (KRO) aanvraagt wanneer een ruimte of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    U moet een vermelding vinden zoals:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Gezondheid van hybride databeveiliging controleren

                                                                                                                                                  Een statusindicator in Control Hub geeft aan of alles goed gaat met de implementatie van hybride databeveiliging. Meld u aan voor e-mailmeldingen voor meer proactieve waarschuwingen. U krijgt een melding wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
                                                                                                                                                  1

                                                                                                                                                  Selecteer in Control HubServices in het menu links op het scherm.

                                                                                                                                                  2

                                                                                                                                                  Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellingen.

                                                                                                                                                  De pagina Instellingen voor hybride databeveiliging wordt weergegeven.
                                                                                                                                                  3

                                                                                                                                                  Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen gescheiden door komma's en druk op Enter.

                                                                                                                                                  Gebruikers toevoegen aan of verwijderen uit uw proefperiode

                                                                                                                                                  Nadat u een proefperiode hebt geactiveerd en de eerste set proefgebruikers hebt toegevoegd, kunt u op elk gewenst moment leden van de proefperiode toevoegen of verwijderen terwijl de proefperiode actief is.

                                                                                                                                                  Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker om sleutels en sleutels te maken vanuit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die is opgeslagen op uw KMS, zal de cloud-KMS deze namens de gebruiker ophalen.

                                                                                                                                                  Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep te beheren, HdsTrialGroup; u kunt de groepsleden weergeven in Control Hub, maar ze niet toevoegen of verwijderen.

                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.

                                                                                                                                                  3

                                                                                                                                                  Klik in het gedeelte Proefmodus van het gebied Servicestatus op Gebruikers toevoegen of klik op weergeven en bewerken om gebruikers uit de proefperiode te verwijderen.

                                                                                                                                                  4

                                                                                                                                                  Voer het e-mailadres in van een of meer gebruikers die u wilt toevoegen of klik op de X met een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan .

                                                                                                                                                  Overstappen van proefperiode naar productie

                                                                                                                                                  Als u er zeker van bent dat uw implementatie goed werkt voor de gebruikers van de proefperiode, kunt u overgaan naar productie. Wanneer u overgaat naar productie, gebruiken alle gebruikers in de organisatie uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. U kunt niet teruggaan naar de proefmodus vanuit de productie, tenzij u de service deactiveert als onderdeel van noodherstel. Als u de service opnieuw activeert, moet u een nieuwe proefperiode instellen.
                                                                                                                                                  1

                                                                                                                                                  Meld u aan bij Control Hub en selecteer Services.

                                                                                                                                                  2

                                                                                                                                                  Klik onder Hybride databeveiliging op Instellingen.