- Start
- /
- Artikel
Implementatiehandleiding voor Webex Hybride databeveiliging
Nieuwe en gewijzigde informatie
Datum | Aangebrachte wijzigingen | ||
---|---|---|---|
20 oktober 2023 |
| ||
07 augustus 2023 |
| ||
23 mei 2023 |
| ||
06 december 2022 |
| ||
23 november 2022 |
| ||
13 oktober 2021 | Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker Desktop. | ||
24 juni 2021 | U kunt het bestand met de privésleutel en de CSR opnieuw gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie. | ||
30 april 2021 | De VM-vereiste voor lokale harde schijfruimte is gewijzigd in 30 GB. Zie Vereisten voor virtuele host voor meer informatie. | ||
24 februari 2021 | De HDS-installatietool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO maken voor de HDS-hosts voor meer informatie. | ||
2 februari 2021 | HDS kan nu worden uitgevoerd zonder een gemonteerd ISO-bestand. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie. | ||
11 januari 2021 | Informatie toegevoegd over het hulpprogramma HDS-instellingen en proxy's om een configuratie-ISO voor de HDS-hosts te maken. | ||
13 oktober 2020 | Bijgewerkte Installatiebestanden downloaden. | ||
8 oktober 2020 | Configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt. | ||
14 augustus 2020 | De configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces. | ||
5 augustus 2020 | Bijgewerkte Test uw implementatie voor hybride databeveiliging voor wijzigingen in logboekberichten. De vereisten voor de virtuele host zijn bijgewerkt om het maximale aantal hosts te verwijderen. | ||
16 juni 2020 | Bijgewerkt Een knooppunt verwijderen voor wijzigingen in de gebruikersinterface van Control Hub. | ||
4 juni 2020 | De ISO voor configuratie maken voor de HDS-hosts is bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk hebt ingesteld. | ||
29 mei 2020 | Bijgewerkt: maak een configuratie-ISO voor de HDS-hosts om aan te geven dat u ook TLS kunt gebruiken met SQL Server-databases, gebruikersgebruikerswijzigingen en andere verduidelijkingen. | ||
5 mei 2020 | De vereisten voor de virtuele host zijn bijgewerkt om de nieuwe vereisten voor ESXi 6.5 weer te geven. | ||
21 april 2020 | Bijgewerkte Externe connectiviteitsvereisten met nieuwe Americas CI-hosts. | ||
1 april 2020 | Bijgewerkte Externe connectiviteitsvereisten met informatie over regionale CI-hosts. | ||
20 februari 2020 | Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met informatie over het nieuwe optionele scherm Geavanceerde instellingen in de HDS-installatietool. | ||
4 februari 2020 | Proxyserververeisten bijgewerkt. | ||
16 december 2019 | De vereiste voor geblokkeerde externe DNS-resolutiemodus is verduidelijkt om te werken in de vereisten voor de proxyserver. | ||
19 november 2019 | Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende gedeelten: | ||
8 november 2019 | U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van erna. De volgende gedeelten zijn dienovereenkomstig bijgewerkt:
| ||
6 september 2019 | Standaard SQL-server toegevoegd aan vereisten voor databaseserver. | ||
29 augustus 2019 | Bijlage Squid-proxy's configureren voor hybride databeveiliging toegevoegd met richtlijnen voor het configureren van squid-proxy's om websocketverkeer te negeren voor een goede werking. | ||
20 augustus 2019 | Er zijn gedeelten toegevoegd en bijgewerkt voor proxyondersteuning voor communicatie van knooppunten voor hybride databeveiliging naar de Webex-cloud. Zie het Help-artikel Proxy-ondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie. | ||
13 juni 2019 | Bijgewerkte Trial to Production Task Flow met een herinnering om de HdsTrialGroup groepsobject voordat een proefperiode wordt gestart als uw organisatie adreslijstsynchronisatie gebruikt. | ||
6 maart 2019 |
| ||
28 februari 2019 |
| ||
26 februari 2019 |
| ||
24 januari 2019 |
| ||
5 november 2018 |
| ||
19 oktober 2018 |
| ||
31 juli 2018 |
| ||
21 mei 2018 | Gewijzigde terminologie om de rebranding van Cisco Spark weer te geven:
| ||
11 april 2018 |
| ||
22 februari 2018 |
| ||
15 februari 2018 |
| ||
18 januari 2018 |
| ||
2 november 2017 |
| ||
18 augustus 2017 | Voor het eerst gepubliceerd |
Overzicht van hybride databeveiliging
Vanaf dag één is gegevensbeveiliging de belangrijkste focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end inhoudsversleuteling, mogelijk gemaakt door Webex -app-clients die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografische sleutels die clients gebruiken om berichten en bestanden dynamisch te versleutelen en ontsleutelen.
Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride gegevensbeveiliging verplaatst het KMS en andere beveiligingsgerelateerde functies naar het bedrijfsgegevens , zodat niemand anders dan u de sleutels heeft tot uw versleutelde inhoud.
Architectuur beveiligingsgebied
De Webex-cloudarchitectuur scheidt verschillende soorten service in afzonderlijke realms of vertrouwensdomeinen, zoals hieronder wordt weergegeven.
Laten we eerst eens kijken naar deze zuivere cloudcase, waarin Cisco alle functies in zijn clouddomeinen aanbiedt om meer inzicht te krijgen in hybride databeveiliging. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks kunnen worden gecorreleerd met hun persoonlijke informatie zoals e-mailadres, is logisch en fysiek gescheiden van de beveiligingsrealm in datacenter B. Beide zijn op hun beurt gescheiden van de realm waar versleutelde inhoud uiteindelijk wordt opgeslagen, in datacenter C.
In dit diagram is de client de Webex-app die wordt uitgevoerd op de laptop van een gebruiker en is deze geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:
De client maakt een veilige verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel om het bericht te versleutelen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.
Het bericht wordt gecodeerd voordat het de client verlaat. De klant stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.
Het gecodeerde bericht wordt verzonden naar de nalevingsservice voor nalevingscontroles.
Het gecodeerde bericht wordt opgeslagen in de opslagrealm.
Wanneer u hybride databeveiliging implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de realms van Cisco.
Samenwerken met andere organisaties
Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, routeert uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS te krijgen en stuurt de sleutel vervolgens terug naar uw gebruiker op het oorspronkelijke kanaal.
De KMS-service die wordt uitgevoerd in organisatie A valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw implementatie voor hybride databeveiliging.
Verwachtingen voor het implementeren van hybride databeveiliging
Een implementatie van hybride databeveiliging vereist een aanzienlijke klantbetrokkenheid en een bewustzijn van de risico's van het bezit van coderingssleutels.
Als u hybride databeveiliging wilt implementeren, moet u het volgende opgeven:
Een beveiligd datacenter in een land dat een ondersteunde locatie is voor de Cisco Webex Teams-plannen.
De apparatuur, software en netwerktoegang die worden beschreven in Prepare Your Environment.
Volledig verlies van de configuratie-ISO die u maakt voor hybride databeveiliging of de database die u levert, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers inhoud van de ruimte en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar alleen nieuwe inhoud is zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:
De back-up en het herstel van de database en de configuratie-ISO beheren.
Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing in de databaseschijf of een ramp met het datacenter.
Er is geen mechanisme om sleutels na een HDS-implementatie terug naar de cloud te verplaatsen. |
Installatieproces op hoog niveau
Dit document behandelt het instellen en beheren van een implementatie voor hybride databeveiliging:
Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset gebruikers in de proefmodus en, zodra uw tests zijn voltooid, het verplaatsen naar productie. Hiermee wordt de hele organisatie geconverteerd om uw cluster voor hybride databeveiliging te gebruiken voor beveiligingsfuncties.
De installatie-, proef- en productiefasen worden in de volgende drie hoofdstukken in detail besproken.
Uw implementatie voor hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch voortdurende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig ondersteuning van Cisco inschakelen. U kunt meldingen op het scherm gebruiken en op e-mail gebaseerde waarschuwingen instellen in Control Hub.
Algemene waarschuwingen, stappen voor probleemoplossing en bekende problemen begrijpen: als u problemen ondervindt bij het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.
Implementatiemodel voor hybride databeveiliging
In uw bedrijfsdatacenter implementeert u hybride databeveiliging als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.
Tijdens het installatieproces bieden we u het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt monteert. Het cluster Hybride databeveiliging gebruikt de door u geleverde Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de details van de Syslogd- en databaseverbinding in de HDS-installatietool.)
Het minimumaantal knooppunten dat u in een cluster kunt hebben is twee. We raden ten minste drie aan en u kunt er maximaal vijf hebben. Als u meerdere knooppunten hebt, wordt de service niet onderbroken tijdens een software-upgrade of andere onderhoudsactiviteit op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)
Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en logboekactiviteit op dezelfde syslog-server. De knooppunten zelf zijn stateloos, en behandelen belangrijke verzoeken in round-robin mode, zoals geregisseerd door de cloud.
Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt buiten gebruik wilt stellen, kunt u de registratie ongedaan maken en later opnieuw registreren, indien nodig.
We ondersteunen slechts één cluster per organisatie.
Proefmodus voor hybride databeveiliging
Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u dit eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.
Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de pilootgebruikers en alle gebruikers met wie ze tijdens de proefperiode interactie hebben gehad door nieuwe ruimten te maken, de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.
Als u ervan overtuigd bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilootgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, bijvoorbeeld om noodherstel uit te voeren, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilootgebruikers voor de nieuwe proefperiode instellen voordat u teruggaat naar de productiemodus. Of gebruikers op dit moment toegang tot gegevens behouden, hangt af van het feit of u back-ups van de sleutelgegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster hebt onderhouden.
Standby-datacenter voor noodherstel
Tijdens de implementatie stelt u een beveiligd stand-bydatacenter in. In het geval van een ramp met een datacenter kunt u uw implementatie handmatig overzetten naar het stand-bydatacenter.
De databases van de actieve en stand-by datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is om de failover uit te voeren, tot een minimum wordt beperkt. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten zijn geregistreerd bij de organisatie, maar geen verkeer afhandelen. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van de HDS-software.
De actieve knooppunten voor hybride databeveiliging moeten altijd in hetzelfde datacenter zijn als de actieve databaseserver. |
Standby-datacenter instellen voor noodherstel
Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:
Voordat u begint
Het stand-bydatacenter moet de productieomgeving van VM's en een back-up PostgreSQL- of Microsoft SQL Server-database weerspiegelen. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. (Zie Standby Data Center for Disaster Recovery voor een overzicht van dit failovermodel.)
Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database met actieve en passieve clusterknooppunten.
1 | Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.
| ||
2 | Klik na het configureren van de Syslogd-server op Geavanceerde instellingen | ||
3 | Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar wordt er geen verkeer afgehandeld.
| ||
4 | Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op. | ||
5 | Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||
6 | Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.. | ||
7 | Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.
| ||
8 | Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn. | ||
9 | Herhaal het proces voor elk knooppunt in het stand-bydatacenter.
|
De volgende stappen
Na het configureren passiveMode
in het ISO-bestand en opslaan, kunt u een andere kopie van het ISO-bestand maken zonder de passiveMode
configureren en opslaan op een veilige locatie. Deze kopie van het ISO-bestand zonder passiveMode
geconfigureerd kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met behulp van het stand-bydatacenter voor de gedetailleerde failoverprocedure.
Proxyondersteuning
Hybride databeveiliging ondersteunt expliciete, transparante en niet-inspecterende proxy's. U kunt deze proxy's aan uw implementatie koppelen zodat u het verkeer van de onderneming naar de cloud kunt beveiligen en bewaken. U kunt een platformbeheerinterface op de knooppunten gebruiken voor certificaatbeheer en om de algehele verbindingsstatus te controleren nadat u de proxy op de knooppunten hebt ingesteld.
De knooppunten voor hybride databeveiliging ondersteunen de volgende proxyopties:
Geen proxy: de standaardinstelling als u de HDS-knooppuntconfiguratie Vertrouwensarchief en proxy niet gebruikt om een proxy te integreren. Er is geen certificaatupdate vereist.
Transparante niet-inspecterende proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaatupdate vereist.
Transparante tunneling of inspectie van proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP- of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).
Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welk proxyserver- en verificatieschema u moet gebruiken. Als u een expliciete proxy wilt configureren, moet u de volgende informatie op elk knooppunt invoeren:
Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.
Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.
Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:
HTTP: geeft alle verzoeken weer die de client verzendt en beheert deze.
HTTPS: biedt een kanaal naar de server. De client ontvangt het servercertificaat en valideert het.
Verificatietype: kies uit de volgende verificatietypen:
Geen: er is geen verdere verificatie vereist.
Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.
Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.
Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.
Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.
Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.
Alleen beschikbaar als u HTTPS selecteert als proxyprotocol.
Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.
Voorbeeld van knooppunten voor hybride databeveiliging en proxy
In dit diagram ziet u een voorbeeldverbinding tussen hybride databeveiliging, netwerk en een proxy. Voor de opties voor transparante inspectie en HTTPS expliciete inspectie proxy moet hetzelfde hoofdcertificaat worden geïnstalleerd op de proxy en op de knooppunten voor hybride databeveiliging.
Geblokkeerde externe DNS-resolutiemodus (expliciete proxyconfiguraties)
Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. In implementaties met expliciete proxyconfiguraties die geen externe DNS-resolutie voor interne clients toestaan, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie als het knooppunt de DNS-servers niet kan opvragen. In deze modus kunnen knooppuntregistratie en andere proxyverbindingstests worden voortgezet.
Vereisten voor hybride databeveiliging
Vereisten voor Cisco Webex-licenties
Hybride databeveiliging implementeren:
U moet beschikken over het Pro-pakket voor Cisco Webex Control Hub. (Zie https://www.cisco.com/go/pro-pack.)
Vereisten voor Docker Desktop
Voordat u uw HDS-knooppunten installeert, hebt u Docker Desktop nodig om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie heeft mogelijk een betaald abonnement voor Docker Desktop nodig. Voor meer informatie raadpleegt u het Docker-blogbericht ' Docker werkt onze productabonnementen bij en verlengt deze ".
Vereisten voor X.509-certificaten
De certificaatketen moet aan de volgende vereisten voldoen:
Vereiste | Details |
---|---|
| Standaard vertrouwen we de CA’s in de Mozilla lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs. |
| De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die uw organisatie weergeeft, bijvoorbeeld: De algemene naam mag geen * (jokerteken) bevatten. De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren bij clients van de Webex-app. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden. Zodra u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat kan worden toegepast op zowel de proefperiode- als productie-implementaties. |
| De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties. |
| U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen. U moet het wachtwoord invoeren wanneer u de HDS-installatietool uitvoert. |
De KMS-software dwingt sleutelgebruik of uitgebreide beperkingen voor sleutelgebruik niet af. Sommige certificeringsinstanties vereisen dat uitgebreide belangrijke gebruiksbeperkingen worden toegepast op elk certificaat, zoals serververificatie. U mag de serververificatie of andere instellingen gebruiken.
Vereisten voor virtuele host
De virtuele hosts die u instelt als knooppunten voor hybride databeveiliging in uw cluster, hebben de volgende vereisten:
Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich in hetzelfde beveiligde datacenter bevinden
VMware ESXi 6.5 (of hoger) geïnstalleerd en actief.
U moet upgraden als u een eerdere versie van ESXi hebt.
Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server
Vereisten voor databaseserver
Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. Wanneer de HDS-toepassingen zijn geïnstalleerd, maakt u het databaseschema. |
Er zijn twee opties voor databaseserver. De vereisten voor elk zijn als volgt:
PostgreSQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen) | Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen) |
De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:
PostgreSQL | Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 | SQL JDBC-stuurprogramma van SQL Server 4.6 Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover Cluster Instances en Always On availability groups). |
Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server
Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:
De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.
Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees-/schrijftoegang hebben tot de database.
De DNS-servers die u aan HDS-knooppunten levert, moeten uw Key Distribution Center (KDC) kunnen oplossen.
U kunt de HDS-database-instantie op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een servicenaam registreren voor Kerberos-verbindingen.
De HDS-installatietool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens van uw ISO-configuratie om de SPN te construeren wanneer ze toegang aanvragen met Kerberos-verificatie.
Externe connectiviteitsvereisten
Configureer uw firewall om de volgende verbinding voor de HDS-toepassingen toe te staan:
App | Protocol | Poort | Richting van app | Bestemming |
---|---|---|---|---|
Knooppunten voor hybride databeveiliging | TCP | 443 | Uitgaande HTTPS en WSS |
|
Hulpprogramma voor HDS-instellingen | TCP | 443 | Uitgaande HTTPS |
|
De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die inkomend zijn naar de knooppunten voor hybride databeveiliging, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients voor beheerdoeleinden toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22. |
De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:
Regio | Host-URL's van Common Identity |
---|---|
Amerika |
|
Europese Unie |
|
Canada |
|
Vereisten voor proxyserver
We ondersteunen officieel de volgende proxyoplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride databeveiliging.
Transparante proxy: Cisco Web Security Appliance (WSA).
Expliciete proxy: Squid.
Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de oprichting van websocket verstoren (wss:) verbindingen. Zie Squid-proxy's configureren voor hybride databeveiliging voor meer informatie over dit probleem.
We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:
Geen verificatie met HTTP of HTTPS
Basisverificatie met HTTP of HTTPS
Digestverificatie met alleen HTTPS
Voor een transparante inspecterende proxy of een expliciete HTTPS-proxy moet u een kopie hebben van het hoofdcertificaat van de proxy. De implementatie-instructies in deze handleiding vertellen u hoe u de kopie kunt uploaden naar de vertrouwensarchieven van de knooppunten voor hybride databeveiliging.
Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 te dwingen via de proxy te routeren.
Proxy's die webverkeer inspecteren, kunnen de verbindingen met de websocket verstoren. Indien dit probleem zich voordoet, verkeer overslaan (niet inspecteren) naar
wbx2.com
enciscospark.com
zal het probleem oplossen.
Voldoen aan de vereisten voor hybride databeveiliging
1 | Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en ontvang de referenties van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces. | ||
2 | Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld | ||
3 | Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt ten minste twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter zijn geplaatst en voldoen aan de vereisten in Vereisten voor virtuele host. | ||
4 | Bereid de databaseserver voor die zal fungeren als de belangrijkste gegevensopslag voor het cluster, overeenkomstig de vereisten voor de databaseserver. De databaseserver moet samen met de virtuele hosts in het beveiligde datacenter worden geplaatst. | ||
5 | Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. | ||
6 | Stel een Syslog-host in om logboeken te verzamelen van de knooppunten in het cluster. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514). | ||
7 | Maak een veilig back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.
Clients van de Webex-app brengen hun sleutels in de cache, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen niet te voorkomen zijn, kunnen ze worden hersteld. Volledig verlies (geen back-ups beschikbaar) van de database of het ISO-configuratiebestand leidt echter tot niet-herstelbare klantgegevens. Van de beheerders van de knooppunten voor hybride databeveiliging wordt verwacht dat ze regelmatig back-ups van de database en het configuratie-ISO-bestand onderhouden, en dat ze bereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als er een catastrofale storing optreedt. | ||
8 | Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw hybride databeveiligingsknooppunten mogelijk maakt, zoals beschreven in Externe connectiviteitsvereisten. | ||
9 | Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft tot het besturingssysteem op http://127.0.0.1:8080. U gebruikt het Docker-exemplaar om de HDS-installatietool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratie-informatie op voor alle knooppunten voor hybride databeveiliging. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker Desktop voor meer informatie. Om de HDS-setuptool te installeren en uit te voeren, moet de lokale machine de connectiviteit hebben die wordt beschreven in Externe connectiviteitsvereisten. | ||
10 | Als u een proxy integreert met hybride databeveiliging, moet u ervoor zorgen dat deze voldoet aan de vereisten voor de proxyserver. | ||
11 | Als uw organisatie adreslijstsynchronisatie gebruikt, maakt u een groep in Active Directory met de naam
|
Taakstroom implementatie hybride databeveiliging
Voordat u begint
1 | Installatiebestanden downloaden Download het OVA-bestand naar uw lokale computer voor later gebruik. | ||
2 | Een configuratie-ISO maken voor de HDS-hosts Gebruik de HDS-installatietool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging. | ||
3 |
Maak een virtuele machine vanuit het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.
| ||
4 | De VM voor hybride databeveiliging instellen Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd ten tijde van de OVA-implementatie. | ||
5 | De HDS-configuratie-ISO uploaden en koppelen Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-installatietool. | ||
6 | Het HDS-knooppunt configureren voor proxyintegratie Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u indien nodig het proxycertificaat toe aan het vertrouwensarchief. | ||
7 | Het eerste knooppunt in het cluster registreren Registreer de VM bij de Cisco Webex-cloud als een knooppunt voor hybride databeveiliging. | ||
8 | Meer knooppunten maken en registreren Voltooi de clusterinstelling. | ||
9 | Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk) Totdat u een proefperiode start, genereren uw knooppunten een alarm dat aangeeft dat uw service nog niet is geactiveerd. |
Installatiebestanden downloaden
1 | Meld u aan bij https://admin.webex.com en klik vervolgens op Services. | ||||
2 | Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik vervolgens op Instellen. Als de kaart is uitgeschakeld of u deze niet ziet, neemt u contact op met uw accountteam of uw partnerorganisatie. Geef uw accountnummer en vraag of u uw organisatie wilt inschakelen voor hybride databeveiliging. Als u het accountnummer wilt vinden, klikt u op het tandwiel rechtsboven naast de naam van uw organisatie.
| ||||
3 | Selecteer Nee om aan te geven dat u het knooppunt nog niet hebt ingesteld en klik vervolgens op Volgende. Het OVA-bestand begint automatisch te downloaden. Sla het bestand op een locatie op uw computer op.
| ||||
4 | U kunt ook op Implementatiehandleiding openen klikken om te controleren of er een latere versie van deze handleiding beschikbaar is. |
Een configuratie-ISO maken voor de HDS-hosts
Het installatieproces voor hybride databeveiliging maakt een ISO-bestand. Vervolgens gebruikt u de ISO om uw host voor hybride databeveiliging te configureren.
Voordat u begint
De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.
Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5 opent. Deze tabel geeft enkele mogelijke omgevingsvariabelen:
Beschrijving
Variabele
HTTP-proxy zonder verificatie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy zonder verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy met verificatie
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy met verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de nieuwste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals:
Aanmeldgegevens database
Certificaatupdates
Wijzigingen in het autorisatiebeleid
Als u databaseverbindingen wilt versleutelen, stelt u uw PostgreSQL- of SQL Server-implementatie voor TLS in.
1 | Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in: In normale omgevingen:
In FedRAMP-omgevingen:
| ||||||||||||
2 | Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:
| ||||||||||||
3 | Voer bij de wachtwoordprompt deze hash in:
| ||||||||||||
4 | Download de nieuwste stabiele installatiekopie voor uw omgeving: In normale omgevingen:
In FedRAMP-omgevingen:
| ||||||||||||
5 | Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:
Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'. | ||||||||||||
6 |
Gebruik een webbrowser om naar de localhost te gaan De tool gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Het hulpprogramma geeft vervolgens de standaard aanmeldingsprompt weer. | ||||||||||||
7 | Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de Control Hub-klantbeheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan. | ||||||||||||
8 | Klik op de overzichtspagina van de installatietool op Aan de slag. | ||||||||||||
9 | Op de pagina ISO Import hebt u de volgende opties:
| ||||||||||||
10 | Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.
| ||||||||||||
11 | Voer het databaseadres en het account voor HDS in om toegang te krijgen tot uw belangrijke gegevensopslag: | ||||||||||||
12 | Selecteer een TLS-databaseverbindingsmodus:
Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-installatietool de TLS-verbinding met de databaseserver. Het hulpprogramma verifieert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, geeft het hulpprogramma een foutmelding waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en wilt doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de HDS-installatietool niet met succes kan worden getest.) | ||||||||||||
13 | Configureer uw Syslogd-server op de pagina Systeemlogboeken: | ||||||||||||
14 | (Optioneel) U kunt de standaardwaarde voor bepaalde parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u wilt wijzigen:
| ||||||||||||
15 | Klik op Doorgaan op het scherm Wachtwoord serviceaccounts opnieuw instellen. Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u wilt deze opnieuw instellen om eerdere ISO-bestanden ongeldig te maken. | ||||||||||||
16 | Klik op ISO-bestand downloaden. Sla het bestand op een gemakkelijk te vinden locatie op. | ||||||||||||
17 | Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||||||||||||
18 | Als u het installatieprogramma wilt afsluiten, typt u |
De volgende stappen
Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten voor herstel te maken of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het herstellen van de sleutels uit uw PostgreSQL- of Microsoft SQL Server-database is niet mogelijk.
We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze kwijtraakt. |
De HDS-host-OVA installeren
1 | Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host. | ||||||
2 | Selecteer File > Deploy OVF Template. | ||||||
3 | Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende. | ||||||
4 | Op de Selecteer een naam en map pagina, voer een in Naam virtuele machine voor het knooppunt (bijvoorbeeld 'HDS_Node_1') kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u vervolgens op Volgende. | ||||||
5 | Op de Een computerbron selecteren pagina, kies de bestemming compute resource en klik vervolgens op Volgende. Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloondetails weergegeven. | ||||||
6 | Controleer de sjabloondetails en klik op Volgende. | ||||||
7 | Als u wordt gevraagd de resourceconfiguratie te kiezen op de Configuratie pagina, klik op 4 CPU en klik vervolgens op Volgende. | ||||||
8 | Op de Selecteer opslag pagina, klik op Volgende om de standaard schijfindeling en het VM-opslagbeleid te accepteren. | ||||||
9 | Op de Selecteer netwerken-pagina, kies de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden. | ||||||
10 | Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen:
Indien gewenst kunt u de configuratie van de netwerkinstellingen overslaan en de stappen volgen in De hybride databeveiliging VM instellen om de instellingen vanaf de knooppuntconsole te configureren.
| ||||||
11 | Klik met de rechtermuisknop op het knooppunt VM en kies .De software voor hybride databeveiliging is geïnstalleerd als gast op de VM-host. U kunt zich nu aanmelden bij de console en het knooppunt configureren. Tips voor het oplossen van problemen U kunt een vertraging van een paar minuten ervaren voordat de knooppuntcontainers naar boven komen. Er verschijnt een brugfirewallbericht op de console tijdens de eerste keer opstarten, tijdens welke u zich niet kunt aanmelden. |
De VM voor hybride databeveiliging instellen
Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.
1 | Selecteer in de VMware vSphere-client uw knooppunt voor hybride databeveiliging VM en selecteer het tabblad Console. De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldprompt niet wordt weergegeven, drukt u op Enter.
|
2 | Gebruik de volgende standaardaanmelding en het volgende wachtwoord om u aan te melden en de aanmeldgegevens te wijzigen: Aangezien u zich voor de eerste keer aanmeldt bij uw VM, moet u het beheerderswachtwoord wijzigen. |
3 | Als u de netwerkinstellingen al hebt geconfigureerd in Install the HDS Host OVA, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken. |
4 | Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund. |
5 | (Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om aan uw netwerkbeleid te voldoen. U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen. |
6 | Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen van kracht worden. |
De HDS-configuratie-ISO uploaden en koppelen
Voordat u begint
Omdat het ISO-bestand de hoofdsleutel bevat, mag het alleen worden blootgesteld op een 'need to know'-basis, voor toegang door de VM's voor hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen die beheerders toegang hebben tot de gegevensopslag.
1 | Upload het ISO-bestand vanaf uw computer: |
2 | Koppel het ISO-bestand: |
De volgende stappen
Als uw IT-beleid dit vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.
Het HDS-knooppunt configureren voor proxyintegratie
Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride databeveiliging. Als u een transparante inspecterende proxy of een expliciete HTTPS-proxy kiest, kunt u de interface van het knooppunt gebruiken om het hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding controleren vanuit de interface en mogelijke problemen oplossen.
Voordat u begint
Zie Proxyondersteuning voor een overzicht van de ondersteunde proxyopties.
1 | Voer de URL voor het instellen van het HDS-knooppunt in |
2 | Ga naar Trust Store & Proxy en kies een optie:
Volg de volgende stappen voor een transparante inspecterende proxy, een expliciete HTTP-proxy met basisverificatie of een expliciete HTTPS-proxy. |
3 | Klik op Upload a Root Certificate or End Entity Certificate (Een hoofdcertificaat uploaden of een entiteitscertificaat beëindigen) en navigeer vervolgens naar een hoofdcertificaat voor de proxy kiezen. Het certificaat is geüpload maar nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijl van de chevron bij de naam van de certificaatverstrekker voor meer informatie of klik op Verwijderen als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden. |
4 | Klik op Proxyverbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen. Als de verbindingstest mislukt, ziet u een foutbericht met de reden en hoe u het probleem kunt oplossen. Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken. Deze voorwaarde wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de modus Geblokkeerde externe DNS-resolutie. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u Geblokkeerde externe DNS-resolutiemodus uitschakelen. |
5 | Nadat de verbindingstest is verlopen en de expliciete proxy alleen is ingesteld op https, schakelt u de schakelaar in op Alle poort 443/444-https-verzoeken van dit knooppunt routeren via de expliciete proxy. Deze instelling heeft 15 seconden nodig om van kracht te worden. |
6 | Klik op Alle certificaten installeren in de Trust Store (wordt weergegeven voor een expliciete HTTPS-proxy of een transparante inspecterende proxy) of Opnieuw opstarten (wordt weergegeven voor een expliciete HTTP-proxy), lees de prompt en klik vervolgens op Installeren als u klaar bent. Het knooppunt wordt binnen een paar minuten opnieuw opgestart. |
7 | Nadat het knooppunt opnieuw is opgestart, meldt u zich indien nodig opnieuw aan en opent u de pagina Overzicht om de connectiviteitscontroles te controleren en ervoor te zorgen dat ze allemaal groen zijn. Met de proxyverbindingscontrole wordt alleen een subdomein van webex.com getest. Als er verbindingsproblemen zijn, is een algemeen probleem dat sommige van de clouddomeinen die in de installatie-instructies worden vermeld, worden geblokkeerd bij de proxy. |
Het eerste knooppunt in het cluster registreren
Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd om redundantie te bieden.
Voordat u begint
Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.
Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.
1 | Meld u aan bij https://admin.webex.com. |
2 | Selecteer Services in het menu links op het scherm. |
3 | Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellen. De pagina Knooppunt voor hybride databeveiliging registreren wordt weergegeven.
|
4 | Selecteer Ja om aan te geven dat u het knooppunt hebt ingesteld en klaar bent om het te registreren. Klik vervolgens op Volgende. |
5 | Voer in het eerste veld een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen. We raden u aan een cluster een naam te geven op basis van waar de knooppunten van het cluster zich geografisch bevinden. Voorbeelden: "San Francisco" of "New York" of "Dallas" |
6 | Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende. Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein dat u hebt gebruikt in De VM voor hybride databeveiliging instellen. Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex.
|
7 | Klik op Ga naar knooppunt. |
8 | Klik in het waarschuwingsbericht op Doorgaan. Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.
|
9 | Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan. Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
|
10 | Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub. Op de pagina Hybride databeveiliging wordt het nieuwe cluster weergegeven met het knooppunt dat u hebt geregistreerd. Het knooppunt downloadt automatisch de nieuwste software vanuit de cloud.
|
Meer knooppunten maken en registreren
Op dit moment zijn de back-up-VM's die u hebt gemaakt in Voldoen aan de vereisten voor hybride databeveiliging stand-byhosts die alleen worden gebruikt in het geval van noodherstel. Ze zijn tot die tijd niet geregistreerd bij het systeem. Zie Noodherstel met behulp van het stand-bydatacenter voor meer informatie. |
Voordat u begint
Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.
Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.
1 | Maak een nieuwe virtuele machine vanuit de OVA en herhaal de stappen in Installeer de HDS-host-OVA. |
2 | Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De hybride databeveiliging instellen. |
3 | Herhaal op de nieuwe VM de stappen in Upload and Mount the HDS Configuration ISO. |
4 | Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Configureer het HDS-knooppunt voor proxyintegratie indien nodig voor het nieuwe knooppunt. |
5 | Registreer het knooppunt. Uw knooppunt is geregistreerd. Houd er rekening mee dat totdat u een proefperiode start, uw knooppunten een alarm genereren dat aangeeft dat uw service nog niet is geactiveerd.
|
De volgende stappen
Doorstroom proefperiode naar productietaak
Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers toevoegen en deze gaan gebruiken om uw implementatie te testen en te verifiëren ter voorbereiding op de overgang naar productie.
Voordat u begint
1 | Indien van toepassing, synchroniseer de Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de |
2 |
Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd. |
3 | Uw implementatie voor hybride databeveiliging testen Controleer of belangrijke aanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging. |
4 | Gezondheid van hybride databeveiliging controleren Controleer de status en stel e-mailmeldingen in voor alarmen. |
5 | |
6 | Voltooi de onderzoeksfase met een van de volgende acties: |
Proefperiode activeren
Voordat u begint
Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup
groepsobject voor synchronisatie met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.
1 | Meld u aan bij https://admin.webex.com en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Servicestatus op Proefperiode starten. De servicestatus verandert in de proefmodus.
|
4 | Klik op Gebruikers toevoegen en voer het e-mailadres van een of meer gebruikers in om uw knooppunten voor hybride databeveiliging te gebruiken voor codering- en indexeringsservices. (Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory om de testgroep te beheren, |
Uw implementatie voor hybride databeveiliging testen
Voordat u begint
Stel uw implementatie voor hybride databeveiliging in.
Activeer de proefperiode en voeg verschillende proefgebruikers toe.
Zorg ervoor dat u toegang hebt tot de syslog om te controleren of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.
1 | Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilootgebruikers en maak vervolgens een ruimte en nodig ten minste één pilootgebruiker en één niet-pilootgebruiker uit.
| ||
2 | Verzend berichten naar de nieuwe ruimte. | ||
3 | Controleer de syslog-uitvoer om te controleren of de sleutelaanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging. |
Gezondheid van hybride databeveiliging controleren
1 | Selecteer in Control HubServices in het menu links op het scherm. |
2 | Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellingen. De pagina Instellingen voor hybride databeveiliging wordt weergegeven.
|
3 | Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen gescheiden door komma's en druk op Enter. |
Gebruikers toevoegen aan of verwijderen uit uw proefperiode
Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker om sleutels en sleutels te maken vanuit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die is opgeslagen op uw KMS, zal de cloud-KMS deze namens de gebruiker ophalen.
Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep te beheren, HdsTrialGroup
; u kunt de groepsleden weergeven in Control Hub, maar ze niet toevoegen of verwijderen.
1 | Meld u aan bij Control Hub en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Proefmodus van het gebied Servicestatus op Gebruikers toevoegen of klik op weergeven en bewerken om gebruikers uit de proefperiode te verwijderen. |
4 | Voer het e-mailadres in van een of meer gebruikers die u wilt toevoegen of klik op de X met een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan . |
Overstappen van proefperiode naar productie
1 | Meld u aan bij Control Hub en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Servicestatus op Verplaatsen naar productie. |
4 | Bevestig dat u al uw gebruikers naar de productie wilt verplaatsen. |
Uw proefperiode beëindigen zonder over te stappen naar productie
1 | Meld u aan bij Control Hub en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Deactiveren op Deactiveren. |
4 | Bevestig dat u de service wilt deactiveren en beëindig de proefperiode. |
HDS-implementatie beheren
Gebruik de taken die hier worden beschreven om uw implementatie voor hybride databeveiliging te beheren.
Upgradeschema voor cluster instellen
De upgradeplanning instellen:
1 | Meld u aan Control Hub. |
2 | Klik op de pagina Overzicht onder Hybride services op Hybride databeveiliging. |
3 | Selecteer het cluster op de pagina Resources voor hybride databeveiliging. |
4 | Selecteer in het deelvenster Overzicht aan de rechterkant onder Clusterinstellingen de clusternaam. |
5 | Selecteer op de pagina Instellingen onder Upgraden de tijd en tijdzone voor het upgradeschema. Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen naar de volgende dag door op Uitstellen te klikken. |
De knooppuntconfiguratie wijzigen
x.509-certificaten wijzigen vanwege verlopen of andere redenen.
We ondersteunen het wijzigen van de CN- domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om het cluster te registreren.
Database-instellingen bijwerken om te wijzigen in een replica van de PostgreSQL- of Microsoft SQL Server-database.
We bieden geen ondersteuning voor het migreren van gegevens van PostgreSQL naar Microsoft SQL Server, of andersom. Als u de databaseomgeving wilt wijzigen, start u een nieuwe implementatie van Hybrid Data Security.
Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.
Om veiligheidsredenen gebruikt hybride databeveiliging serviceaccountwachtwoorden die elke 9 maanden worden gewijzigd. De HDS-setuptool genereert deze wachtwoorden en u implementeert ze in uw HDS-knooppunten als onderdeel van het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een 'kennisgeving van het verlopen van uw wachtwoord' van het Webex-team, waarin u wordt gevraagd het wachtwoord van uw machineaccount opnieuw in te stellen. (De e-mail bevat de tekst 'Gebruik de computeraccount- API om het wachtwoord bij te werken.') Als uw wachtwoorden nog niet zijn verlopen, biedt het hulpprogramma u twee opties:
Zachte reset —De oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO -bestand op de knooppunten geleidelijk te vervangen.
Harde reset —De oude wachtwoorden werken onmiddellijk niet meer.
Als uw wachtwoorden verlopen zonder een reset, heeft dit gevolgen voor uw HDS-service, waardoor een onmiddellijke harde reset en vervanging van het ISO -bestand op alle knooppunten nodig is.
Gebruik deze procedure om een nieuw ISO -configuratiebestand te genereren en dit toe te passen op uw cluster.
Voordat u begint
De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.
Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen bij het weergeven van de Docker-container in 1.e. Deze tabel geeft enkele mogelijke omgevingsvariabelen:
Beschrijving
Variabele
HTTP-proxy zonder verificatie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy zonder verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy met verificatie
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy met verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel die de PostgreSQL- of Microsoft SQL Server-database versleutelt. U hebt de ISO nodig wanneer u configuratiewijzigingen aanbrengt, inclusief databasereferenties, certificaatupdates of wijzigingen in het autorisatiebeleid.
1 | Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt. |
2 | Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor het -knooppunt en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies. |
3 | Koppel het ISO -bestand voor bestaande HDS-knooppunten waarop het oudere configuratiebestand wordt uitgevoerd. Voer de volgende procedure uit op elk knooppunt en werk elk knooppunt bij voordat u het volgende knooppunt uitschakelt: |
4 | Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen. |
Geblokkeerde externe DNS-resolutiemodus uitschakelen
Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. Als de DNS-server van het knooppunt geen openbare DNS-namen kan oplossen, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie.
Als uw knooppunten openbare DNS-namen kunnen oplossen via interne DNS-servers, kunt u deze modus uitschakelen door de proxyverbindingstest op elk knooppunt opnieuw uit te voeren.
Voordat u begint
1 | Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/instellingen, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden. |
2 | Ga naar Overzicht (de standaardpagina). Indien ingeschakeld, Geblokkeerde externe DNS omzetting is ingesteld op Ja . |
3 | Ga naar de pagina Vertrouwensarchief & Proxy. |
4 | Klik op Proxyverbinding controleren. Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken en blijft deze modus actief. Anders moet de geblokkeerde externe DNS-resolutie worden ingesteld op nee nadat u het knooppunt opnieuw hebt opgestart en teruggaat naar de pagina Overzicht. |
De volgende stappen
Een knooppunt verwijderen
1 | Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en de virtuele machine uit te schakelen. |
2 | Verwijder het knooppunt: |
3 | Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.) Als u de VM niet verwijdert, moet u het ISO-configuratiebestand loskoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken om toegang te krijgen tot uw beveiligingsgegevens. |
Noodherstel met behulp van het stand-bydatacenter
De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt voor het coderen van berichten en andere inhoud die in de Webex-cloud is opgeslagen. Voor elke gebruiker binnen de organisatie die is toegewezen aan hybride databeveiliging, worden nieuwe aanvragen voor het maken van sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de sleutels die zijn gemaakt aan gebruikers die bevoegd zijn om ze op te halen, bijvoorbeeld leden van een gespreksruimte.
Omdat het cluster de kritieke functie van het leveren van deze sleutels vervult, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden behouden. Verlies van de database met hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van inhoud van de klant. De volgende praktijken zijn verplicht om een dergelijk verlies te voorkomen:
Als door een calamiteit de HDS-implementatie in het primaire datacenter niet meer beschikbaar is, volgt u deze procedure om handmatig te failover te gaan naar het stand-bydatacenter.
1 | Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts. | ||
2 | Klik na het configureren van de Syslogd-server op Geavanceerde instellingen | ||
3 | Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe of verwijder de
| ||
4 | Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op. | ||
5 | Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||
6 | Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.. | ||
7 | Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.
| ||
8 | Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn. | ||
9 | Herhaal het proces voor elk knooppunt in het stand-bydatacenter.
|
De volgende stappen
(Optioneel) ISO loskoppelen na HDS-configuratie
De standaard HDS-configuratie wordt uitgevoerd met de ISO gemonteerd. Maar sommige klanten geven er de voorkeur aan ISO-bestanden niet continu gemonteerd achter te laten. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.
U gebruikt de ISO-bestanden nog steeds om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de installatietool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra al uw knooppunten de configuratiewijzigingen hebben overgenomen, kunt u de ISO opnieuw loskoppelen met deze procedure.
Voordat u begint
Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.
1 | Sluit een van uw HDS-knooppunten af. |
2 | Selecteer het HDS-knooppunt in het vCenter-serverapparaat. |
3 | Kies ISO-gegevensopslagbestand uitschakelen. en |
4 | Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 20 minuten geen alarmen zijn. |
5 | Herhaal dit om de beurt voor elk HDS-knooppunt. |
Waarschuwingen en problemen weergeven
Een implementatie voor hybride databeveiliging wordt als onbeschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als het cluster zo traag werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:
Nieuwe ruimten kunnen niet worden gemaakt (kan geen nieuwe sleutels maken)
Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:
Nieuwe gebruikers toegevoegd aan een ruimte (kan geen toetsen ophalen)
Bestaande gebruikers in een ruimte met een nieuwe client (kan geen sleutels ophalen)
Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben
Het is belangrijk dat u uw cluster voor hybride databeveiliging goed bewaakt en alle waarschuwingen onmiddellijk aanpakt om onderbrekingen van de service te voorkomen.
Waarschuwingen
Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen aan de organisatiebeheerder weer en worden e-mails naar het geconfigureerde e-mailadres verzonden. De waarschuwingen behandelen veel voorkomende scenario's.
Alarm | Actie |
---|---|
Toegang tot lokale database mislukt. |
Controleer op databasefouten of problemen met het lokale netwerk. |
Lokale databaseverbinding mislukt. |
Controleer of de databaseserver beschikbaar is en of de juiste serviceaccountgegevens zijn gebruikt in de knooppuntconfiguratie. |
Toegang tot cloudservice mislukt. |
Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Externe verbindingsvereisten. |
Cloudserviceregistratie vernieuwen. |
Registratie bij cloudservices is geschrapt. De registratie wordt vernieuwd. |
Registratie van cloudservice is verbroken. |
Registratie voor cloudservices is beëindigd. De service wordt afgesloten. |
Service nog niet geactiveerd. |
Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie. |
Het geconfigureerde domein komt niet overeen met het servercertificaat. |
Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein. De meest waarschijnlijke oorzaak is dat de CN van het certificaat onlangs is gewijzigd en nu verschilt van de CN die tijdens de eerste installatie is gebruikt. |
Kan niet verifiëren bij cloudservices. |
Controleer of de gegevens van het serviceaccount correct zijn en mogelijk verlopen. |
Kan lokaal keystore-bestand niet openen. |
Controleer op integriteit en nauwkeurigheid van het wachtwoord in het lokale keystore-bestand. |
Lokaal servercertificaat is ongeldig. |
Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie. |
Kan statistieken niet plaatsen. |
Controleer de toegang van het lokale netwerk tot externe cloudservices. |
/media/configdrive/hds directory bestaat niet. |
Controleer de ISO-montageconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om opnieuw op te starten en of het met succes wordt geïnstalleerd. |
Problemen met hybride databeveiliging oplossen
1 | Controleer Control Hub op waarschuwingen en los alle items op die u daar vindt. |
2 | Controleer de uitvoer van de syslog-server voor activiteit vanuit de implementatie voor hybride databeveiliging. |
3 | Neem contact op met de ondersteuning van Cisco. |
Bekende problemen voor hybride databeveiliging
Als u uw cluster voor hybride databeveiliging afsluit (door het te verwijderen in Control Hub of door alle knooppunten af te sluiten), uw configuratie-ISO-bestand verliest of toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst met personen die zijn gemaakt met toetsen van uw KMS. Dit geldt zowel voor proefperioden als voor productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en dringen er bij u op aan om uw HDS-services niet af te sluiten zodra ze actieve gebruikersaccounts afhandelen.
Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een periode (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefperiode voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken tot er een time-out optreedt. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact opneemt voor coderingssleutels.
Hetzelfde gedrag treedt op wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle niet-proefgebruikers met bestaande ECDH-verbindingen met de vorige gegevensbeveiligingsservices blijven deze services gebruiken totdat er opnieuw wordt onderhandeld over de ECDH-verbinding (via time-out of door afmelden en weer aanmelden).
OpenSSL gebruiken om een PKCS12-bestand te genereren
Voordat u begint
OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS Setup Tool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten niet op de een of andere manier.
Als u ervoor kiest om OpenSSL te gebruiken, bieden we deze procedure aan als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.
Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.
Maak een privésleutel aan.
Start deze procedure wanneer u het servercertificaat ontvangt van uw certificeringsinstantie (CA).
1 | Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als |
2 | Geef het certificaat weer als tekst en controleer de details.
|
3 | Gebruik een teksteditor om een certificaatbundelbestand met de naam
|
4 | Maak het .p12-bestand met de vriendelijke naam
|
5 | Controleer de gegevens van het servercertificaat. |
De volgende stappen
Ga terug naar Vereisten voor hybride databeveiliging voltooien. U gebruikt de hdsnode.p12
bestand en het wachtwoord dat u ervoor hebt ingesteld, in Create a Configuration ISO for the HDS Hosts.
U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt. |
Verkeer tussen de HDS-knooppunten en de cloud
Verkeer voor verzameling uitgaande statistieken
De knooppunten voor hybride databeveiliging sturen bepaalde statistieken naar de Webex-cloud. Dit zijn onder andere systeemstatistieken voor de maximale heap, gebruikte heap, CPU-belasting en draadtelling; statistieken over synchrone en asynchrone threads; statistieken over waarschuwingen met een drempelwaarde voor coderingsverbindingen, latentie of de lengte van een aanvraagwachtrij; statistieken over de gegevensopslag; en coderingsverbindingsstatistieken. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (gescheiden van het verzoekkanaal).
Inkomend verkeer
De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer vanuit de Webex-cloud:
Coderingsverzoeken van clients die door de coderingsservice worden gerouteerd
Upgrades naar de knooppuntsoftware
Squid-proxy's configureren voor hybride databeveiliging
Websocket kan geen verbinding maken via de Squid Proxy
Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de instelling van websocket ( wss:
) verbindingen die Hybride databeveiliging vereist. Deze secties bieden richtlijnen voor het configureren van verschillende versies van Squid om te negeren wss:
verkeer voor de goede werking van de diensten.
Inktvis 4 en 5
Voeg de on_unsupported_protocol
richtlijn tot squid.conf
:
on_unsupported_protocol tunnel all
Pijlinktvis 3.5.27
We hebben hybride databeveiliging met succes getest met de volgende regels toegevoegd aan squid.conf
. Deze regels kunnen worden gewijzigd bij het ontwikkelen van functies en het bijwerken van de Webex-cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nieuwe en gewijzigde informatie
Datum | Aangebrachte wijzigingen | ||
---|---|---|---|
20 oktober 2023 |
| ||
07 augustus 2023 |
| ||
23 mei 2023 |
| ||
06 december 2022 |
| ||
23 november 2022 |
| ||
13 oktober 2021 | Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker Desktop. | ||
24 juni 2021 | U kunt het bestand met de privésleutel en de CSR opnieuw gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie. | ||
30 april 2021 | De VM-vereiste voor lokale harde schijfruimte is gewijzigd in 30 GB. Zie Vereisten voor virtuele host voor meer informatie. | ||
24 februari 2021 | De HDS-installatietool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO maken voor de HDS-hosts voor meer informatie. | ||
2 februari 2021 | HDS kan nu worden uitgevoerd zonder een gemonteerd ISO-bestand. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie. | ||
11 januari 2021 | Informatie toegevoegd over het hulpprogramma HDS-instellingen en proxy's om een configuratie-ISO voor de HDS-hosts te maken. | ||
13 oktober 2020 | Bijgewerkte Installatiebestanden downloaden. | ||
8 oktober 2020 | Configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt. | ||
14 augustus 2020 | De configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces. | ||
5 augustus 2020 | Bijgewerkte Test uw implementatie voor hybride databeveiliging voor wijzigingen in logboekberichten. De vereisten voor de virtuele host zijn bijgewerkt om het maximale aantal hosts te verwijderen. | ||
16 juni 2020 | Bijgewerkt Een knooppunt verwijderen voor wijzigingen in de gebruikersinterface van Control Hub. | ||
4 juni 2020 | De ISO voor configuratie maken voor de HDS-hosts is bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk hebt ingesteld. | ||
29 mei 2020 | Bijgewerkt: maak een configuratie-ISO voor de HDS-hosts om aan te geven dat u ook TLS kunt gebruiken met SQL Server-databases, gebruikersgebruikerswijzigingen en andere verduidelijkingen. | ||
5 mei 2020 | De vereisten voor de virtuele host zijn bijgewerkt om de nieuwe vereisten voor ESXi 6.5 weer te geven. | ||
21 april 2020 | Bijgewerkte Externe connectiviteitsvereisten met nieuwe Americas CI-hosts. | ||
1 april 2020 | Bijgewerkte Externe connectiviteitsvereisten met informatie over regionale CI-hosts. | ||
20 februari 2020 | Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met informatie over het nieuwe optionele scherm Geavanceerde instellingen in de HDS-installatietool. | ||
4 februari 2020 | Proxyserververeisten bijgewerkt. | ||
16 december 2019 | De vereiste voor geblokkeerde externe DNS-resolutiemodus is verduidelijkt om te werken in de vereisten voor de proxyserver. | ||
19 november 2019 | Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende gedeelten: | ||
8 november 2019 | U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van erna. De volgende gedeelten zijn dienovereenkomstig bijgewerkt:
| ||
6 september 2019 | Standaard SQL-server toegevoegd aan vereisten voor databaseserver. | ||
29 augustus 2019 | Bijlage Squid-proxy's configureren voor hybride databeveiliging toegevoegd met richtlijnen voor het configureren van squid-proxy's om websocketverkeer te negeren voor een goede werking. | ||
20 augustus 2019 | Er zijn gedeelten toegevoegd en bijgewerkt voor proxyondersteuning voor communicatie van knooppunten voor hybride databeveiliging naar de Webex-cloud. Zie het Help-artikel Proxy-ondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie. | ||
13 juni 2019 | Bijgewerkte Trial to Production Task Flow met een herinnering om de HdsTrialGroup groepsobject voordat een proefperiode wordt gestart als uw organisatie adreslijstsynchronisatie gebruikt. | ||
6 maart 2019 |
| ||
28 februari 2019 |
| ||
26 februari 2019 |
| ||
24 januari 2019 |
| ||
5 november 2018 |
| ||
19 oktober 2018 |
| ||
31 juli 2018 |
| ||
21 mei 2018 | Gewijzigde terminologie om de rebranding van Cisco Spark weer te geven:
| ||
11 april 2018 |
| ||
22 februari 2018 |
| ||
15 februari 2018 |
| ||
18 januari 2018 |
| ||
2 november 2017 |
| ||
18 augustus 2017 | Voor het eerst gepubliceerd |
Overzicht van hybride databeveiliging
Vanaf dag één is gegevensbeveiliging de belangrijkste focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end inhoudsversleuteling, mogelijk gemaakt door Webex -app-clients die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografische sleutels die clients gebruiken om berichten en bestanden dynamisch te versleutelen en ontsleutelen.
Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride gegevensbeveiliging verplaatst het KMS en andere beveiligingsgerelateerde functies naar het bedrijfsgegevens , zodat niemand anders dan u de sleutels heeft tot uw versleutelde inhoud.
Architectuur beveiligingsgebied
De Webex-cloudarchitectuur scheidt verschillende soorten service in afzonderlijke realms of vertrouwensdomeinen, zoals hieronder wordt weergegeven.
Laten we eerst eens kijken naar deze zuivere cloudcase, waarin Cisco alle functies in zijn clouddomeinen aanbiedt om meer inzicht te krijgen in hybride databeveiliging. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks kunnen worden gecorreleerd met hun persoonlijke informatie zoals e-mailadres, is logisch en fysiek gescheiden van de beveiligingsrealm in datacenter B. Beide zijn op hun beurt gescheiden van de realm waar versleutelde inhoud uiteindelijk wordt opgeslagen, in datacenter C.
In dit diagram is de client de Webex-app die wordt uitgevoerd op de laptop van een gebruiker en is deze geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:
De client maakt een veilige verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel om het bericht te versleutelen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.
Het bericht wordt gecodeerd voordat het de client verlaat. De klant stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.
Het gecodeerde bericht wordt verzonden naar de nalevingsservice voor nalevingscontroles.
Het gecodeerde bericht wordt opgeslagen in de opslagrealm.
Wanneer u hybride databeveiliging implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de realms van Cisco.
Samenwerken met andere organisaties
Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, routeert uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS te krijgen en stuurt de sleutel vervolgens terug naar uw gebruiker op het oorspronkelijke kanaal.
De KMS-service die wordt uitgevoerd in organisatie A valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw implementatie voor hybride databeveiliging.
Verwachtingen voor het implementeren van hybride databeveiliging
Een implementatie van hybride databeveiliging vereist een aanzienlijke klantbetrokkenheid en een bewustzijn van de risico's van het bezit van coderingssleutels.
Als u hybride databeveiliging wilt implementeren, moet u het volgende opgeven:
Een beveiligd datacenter in een land dat een ondersteunde locatie is voor de Cisco Webex Teams-plannen.
De apparatuur, software en netwerktoegang die worden beschreven in Prepare Your Environment.
Volledig verlies van de configuratie-ISO die u maakt voor hybride databeveiliging of de database die u levert, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers inhoud van de ruimte en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar alleen nieuwe inhoud is zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:
De back-up en het herstel van de database en de configuratie-ISO beheren.
Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing in de databaseschijf of een ramp met het datacenter.
Er is geen mechanisme om sleutels na een HDS-implementatie terug naar de cloud te verplaatsen. |
Installatieproces op hoog niveau
Dit document behandelt het instellen en beheren van een implementatie voor hybride databeveiliging:
Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset gebruikers in de proefmodus en, zodra uw tests zijn voltooid, het verplaatsen naar productie. Hiermee wordt de hele organisatie geconverteerd om uw cluster voor hybride databeveiliging te gebruiken voor beveiligingsfuncties.
De installatie-, proef- en productiefasen worden in de volgende drie hoofdstukken in detail besproken.
Uw implementatie voor hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch voortdurende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig ondersteuning van Cisco inschakelen. U kunt meldingen op het scherm gebruiken en op e-mail gebaseerde waarschuwingen instellen in Control Hub.
Algemene waarschuwingen, stappen voor probleemoplossing en bekende problemen begrijpen: als u problemen ondervindt bij het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.
Implementatiemodel voor hybride databeveiliging
In uw bedrijfsdatacenter implementeert u hybride databeveiliging als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.
Tijdens het installatieproces bieden we u het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt monteert. Het cluster Hybride databeveiliging gebruikt de door u geleverde Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de details van de Syslogd- en databaseverbinding in de HDS-installatietool.)
Het minimumaantal knooppunten dat u in een cluster kunt hebben is twee. We raden ten minste drie aan en u kunt er maximaal vijf hebben. Als u meerdere knooppunten hebt, wordt de service niet onderbroken tijdens een software-upgrade of andere onderhoudsactiviteit op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)
Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en logboekactiviteit op dezelfde syslog-server. De knooppunten zelf zijn stateloos, en behandelen belangrijke verzoeken in round-robin mode, zoals geregisseerd door de cloud.
Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt buiten gebruik wilt stellen, kunt u de registratie ongedaan maken en later opnieuw registreren, indien nodig.
We ondersteunen slechts één cluster per organisatie.
Proefmodus voor hybride databeveiliging
Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u dit eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.
Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de pilootgebruikers en alle gebruikers met wie ze tijdens de proefperiode interactie hebben gehad door nieuwe ruimten te maken, de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.
Als u ervan overtuigd bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilootgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, bijvoorbeeld om noodherstel uit te voeren, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilootgebruikers voor de nieuwe proefperiode instellen voordat u teruggaat naar de productiemodus. Of gebruikers op dit moment toegang tot gegevens behouden, hangt af van het feit of u back-ups van de sleutelgegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster hebt onderhouden.
Standby-datacenter voor noodherstel
Tijdens de implementatie stelt u een beveiligd stand-bydatacenter in. In het geval van een ramp met een datacenter kunt u uw implementatie handmatig overzetten naar het stand-bydatacenter.
De databases van de actieve en stand-by datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is om de failover uit te voeren, tot een minimum wordt beperkt. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten zijn geregistreerd bij de organisatie, maar geen verkeer afhandelen. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van de HDS-software.
De actieve knooppunten voor hybride databeveiliging moeten altijd in hetzelfde datacenter zijn als de actieve databaseserver. |
Standby-datacenter instellen voor noodherstel
Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:
Voordat u begint
Het stand-bydatacenter moet de productieomgeving van VM's en een back-up PostgreSQL- of Microsoft SQL Server-database weerspiegelen. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. (Zie Standby Data Center for Disaster Recovery voor een overzicht van dit failovermodel.)
Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database met actieve en passieve clusterknooppunten.
1 | Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.
| ||
2 | Klik na het configureren van de Syslogd-server op Geavanceerde instellingen | ||
3 | Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar wordt er geen verkeer afgehandeld.
| ||
4 | Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op. | ||
5 | Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||
6 | Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.. | ||
7 | Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.
| ||
8 | Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn. | ||
9 | Herhaal het proces voor elk knooppunt in het stand-bydatacenter.
|
De volgende stappen
Na het configureren passiveMode
in het ISO-bestand en opslaan, kunt u een andere kopie van het ISO-bestand maken zonder de passiveMode
configureren en opslaan op een veilige locatie. Deze kopie van het ISO-bestand zonder passiveMode
geconfigureerd kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met behulp van het stand-bydatacenter voor de gedetailleerde failoverprocedure.
Proxyondersteuning
Hybride databeveiliging ondersteunt expliciete, transparante en niet-inspecterende proxy's. U kunt deze proxy's aan uw implementatie koppelen zodat u het verkeer van de onderneming naar de cloud kunt beveiligen en bewaken. U kunt een platformbeheerinterface op de knooppunten gebruiken voor certificaatbeheer en om de algehele verbindingsstatus te controleren nadat u de proxy op de knooppunten hebt ingesteld.
De knooppunten voor hybride databeveiliging ondersteunen de volgende proxyopties:
Geen proxy: de standaardinstelling als u de HDS-knooppuntconfiguratie Vertrouwensarchief en proxy niet gebruikt om een proxy te integreren. Er is geen certificaatupdate vereist.
Transparante niet-inspecterende proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaatupdate vereist.
Transparante tunneling of inspectie van proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP- of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).
Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welk proxyserver- en verificatieschema u moet gebruiken. Als u een expliciete proxy wilt configureren, moet u de volgende informatie op elk knooppunt invoeren:
Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.
Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.
Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:
HTTP: geeft alle verzoeken weer die de client verzendt en beheert deze.
HTTPS: biedt een kanaal naar de server. De client ontvangt het servercertificaat en valideert het.
Verificatietype: kies uit de volgende verificatietypen:
Geen: er is geen verdere verificatie vereist.
Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.
Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.
Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.
Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.
Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.
Alleen beschikbaar als u HTTPS selecteert als proxyprotocol.
Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.
Voorbeeld van knooppunten voor hybride databeveiliging en proxy
In dit diagram ziet u een voorbeeldverbinding tussen hybride databeveiliging, netwerk en een proxy. Voor de opties voor transparante inspectie en HTTPS expliciete inspectie proxy moet hetzelfde hoofdcertificaat worden geïnstalleerd op de proxy en op de knooppunten voor hybride databeveiliging.
Geblokkeerde externe DNS-resolutiemodus (expliciete proxyconfiguraties)
Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. In implementaties met expliciete proxyconfiguraties die geen externe DNS-resolutie voor interne clients toestaan, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie als het knooppunt de DNS-servers niet kan opvragen. In deze modus kunnen knooppuntregistratie en andere proxyverbindingstests worden voortgezet.
Vereisten voor hybride databeveiliging
Vereisten voor Cisco Webex-licenties
Hybride databeveiliging implementeren:
U moet beschikken over het Pro-pakket voor Cisco Webex Control Hub. (Zie https://www.cisco.com/go/pro-pack.)
Vereisten voor Docker Desktop
Voordat u uw HDS-knooppunten installeert, hebt u Docker Desktop nodig om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie heeft mogelijk een betaald abonnement voor Docker Desktop nodig. Voor meer informatie raadpleegt u het Docker-blogbericht ' Docker werkt onze productabonnementen bij en verlengt deze ".
Vereisten voor X.509-certificaten
De certificaatketen moet aan de volgende vereisten voldoen:
Vereiste | Details |
---|---|
| Standaard vertrouwen we de CA’s in de Mozilla lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs. |
| De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die uw organisatie weergeeft, bijvoorbeeld: De algemene naam mag geen * (jokerteken) bevatten. De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren bij clients van de Webex-app. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden. Zodra u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat kan worden toegepast op zowel de proefperiode- als productie-implementaties. |
| De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties. |
| U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen. U moet het wachtwoord invoeren wanneer u de HDS-installatietool uitvoert. |
De KMS-software dwingt sleutelgebruik of uitgebreide beperkingen voor sleutelgebruik niet af. Sommige certificeringsinstanties vereisen dat uitgebreide belangrijke gebruiksbeperkingen worden toegepast op elk certificaat, zoals serververificatie. U mag de serververificatie of andere instellingen gebruiken.
Vereisten voor virtuele host
De virtuele hosts die u instelt als knooppunten voor hybride databeveiliging in uw cluster, hebben de volgende vereisten:
Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich in hetzelfde beveiligde datacenter bevinden
VMware ESXi 6.5 (of hoger) geïnstalleerd en actief.
U moet upgraden als u een eerdere versie van ESXi hebt.
Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server
Vereisten voor databaseserver
Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. Wanneer de HDS-toepassingen zijn geïnstalleerd, maakt u het databaseschema. |
Er zijn twee opties voor databaseserver. De vereisten voor elk zijn als volgt:
PostgreSQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen) | Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen) |
De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:
PostgreSQL | Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 | SQL JDBC-stuurprogramma van SQL Server 4.6 Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover Cluster Instances en Always On availability groups). |
Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server
Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:
De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.
Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees-/schrijftoegang hebben tot de database.
De DNS-servers die u aan HDS-knooppunten levert, moeten uw Key Distribution Center (KDC) kunnen oplossen.
U kunt de HDS-database-instantie op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een servicenaam registreren voor Kerberos-verbindingen.
De HDS-installatietool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens van uw ISO-configuratie om de SPN te construeren wanneer ze toegang aanvragen met Kerberos-verificatie.
Externe connectiviteitsvereisten
Configureer uw firewall om de volgende verbinding voor de HDS-toepassingen toe te staan:
App | Protocol | Poort | Richting van app | Bestemming |
---|---|---|---|---|
Knooppunten voor hybride databeveiliging | TCP | 443 | Uitgaande HTTPS en WSS |
|
Hulpprogramma voor HDS-instellingen | TCP | 443 | Uitgaande HTTPS |
|
De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die inkomend zijn naar de knooppunten voor hybride databeveiliging, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients voor beheerdoeleinden toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22. |
De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:
Regio | Host-URL's van Common Identity |
---|---|
Amerika |
|
Europese Unie |
|
Canada |
|
Vereisten voor proxyserver
We ondersteunen officieel de volgende proxyoplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride databeveiliging.
Transparante proxy: Cisco Web Security Appliance (WSA).
Expliciete proxy: Squid.
Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de oprichting van websocket verstoren (wss:) verbindingen. Zie Squid-proxy's configureren voor hybride databeveiliging voor meer informatie over dit probleem.
We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:
Geen verificatie met HTTP of HTTPS
Basisverificatie met HTTP of HTTPS
Digestverificatie met alleen HTTPS
Voor een transparante inspecterende proxy of een expliciete HTTPS-proxy moet u een kopie hebben van het hoofdcertificaat van de proxy. De implementatie-instructies in deze handleiding vertellen u hoe u de kopie kunt uploaden naar de vertrouwensarchieven van de knooppunten voor hybride databeveiliging.
Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 te dwingen via de proxy te routeren.
Proxy's die webverkeer inspecteren, kunnen de verbindingen met de websocket verstoren. Indien dit probleem zich voordoet, verkeer overslaan (niet inspecteren) naar
wbx2.com
enciscospark.com
zal het probleem oplossen.
Voldoen aan de vereisten voor hybride databeveiliging
1 | Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en ontvang de referenties van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces. | ||
2 | Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld | ||
3 | Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt ten minste twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter zijn geplaatst en voldoen aan de vereisten in Vereisten voor virtuele host. | ||
4 | Bereid de databaseserver voor die zal fungeren als de belangrijkste gegevensopslag voor het cluster, overeenkomstig de vereisten voor de databaseserver. De databaseserver moet samen met de virtuele hosts in het beveiligde datacenter worden geplaatst. | ||
5 | Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. | ||
6 | Stel een Syslog-host in om logboeken te verzamelen van de knooppunten in het cluster. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514). | ||
7 | Maak een veilig back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.
Clients van de Webex-app brengen hun sleutels in de cache, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen niet te voorkomen zijn, kunnen ze worden hersteld. Volledig verlies (geen back-ups beschikbaar) van de database of het ISO-configuratiebestand leidt echter tot niet-herstelbare klantgegevens. Van de beheerders van de knooppunten voor hybride databeveiliging wordt verwacht dat ze regelmatig back-ups van de database en het configuratie-ISO-bestand onderhouden, en dat ze bereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als er een catastrofale storing optreedt. | ||
8 | Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw hybride databeveiligingsknooppunten mogelijk maakt, zoals beschreven in Externe connectiviteitsvereisten. | ||
9 | Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft tot het besturingssysteem op http://127.0.0.1:8080. U gebruikt het Docker-exemplaar om de HDS-installatietool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratie-informatie op voor alle knooppunten voor hybride databeveiliging. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker Desktop voor meer informatie. Om de HDS-setuptool te installeren en uit te voeren, moet de lokale machine de connectiviteit hebben die wordt beschreven in Externe connectiviteitsvereisten. | ||
10 | Als u een proxy integreert met hybride databeveiliging, moet u ervoor zorgen dat deze voldoet aan de vereisten voor de proxyserver. | ||
11 | Als uw organisatie adreslijstsynchronisatie gebruikt, maakt u een groep in Active Directory met de naam
|
Taakstroom implementatie hybride databeveiliging
Voordat u begint
1 | Installatiebestanden downloaden Download het OVA-bestand naar uw lokale computer voor later gebruik. | ||
2 | Een configuratie-ISO maken voor de HDS-hosts Gebruik de HDS-installatietool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging. | ||
3 |
Maak een virtuele machine vanuit het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.
| ||
4 | De VM voor hybride databeveiliging instellen Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd ten tijde van de OVA-implementatie. | ||
5 | De HDS-configuratie-ISO uploaden en koppelen Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-installatietool. | ||
6 | Het HDS-knooppunt configureren voor proxyintegratie Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u indien nodig het proxycertificaat toe aan het vertrouwensarchief. | ||
7 | Het eerste knooppunt in het cluster registreren Registreer de VM bij de Cisco Webex-cloud als een knooppunt voor hybride databeveiliging. | ||
8 | Meer knooppunten maken en registreren Voltooi de clusterinstelling. | ||
9 | Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk) Totdat u een proefperiode start, genereren uw knooppunten een alarm dat aangeeft dat uw service nog niet is geactiveerd. |
Installatiebestanden downloaden
1 | Meld u aan bij https://admin.webex.com en klik vervolgens op Services. | ||||
2 | Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik vervolgens op Instellen. Als de kaart is uitgeschakeld of u deze niet ziet, neemt u contact op met uw accountteam of uw partnerorganisatie. Geef uw accountnummer en vraag of u uw organisatie wilt inschakelen voor hybride databeveiliging. Als u het accountnummer wilt vinden, klikt u op het tandwiel rechtsboven naast de naam van uw organisatie.
| ||||
3 | Selecteer Nee om aan te geven dat u het knooppunt nog niet hebt ingesteld en klik vervolgens op Volgende. Het OVA-bestand begint automatisch te downloaden. Sla het bestand op een locatie op uw computer op.
| ||||
4 | U kunt ook op Implementatiehandleiding openen klikken om te controleren of er een latere versie van deze handleiding beschikbaar is. |
Een configuratie-ISO maken voor de HDS-hosts
Het installatieproces voor hybride databeveiliging maakt een ISO-bestand. Vervolgens gebruikt u de ISO om uw host voor hybride databeveiliging te configureren.
Voordat u begint
De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.
Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5 opent. Deze tabel geeft enkele mogelijke omgevingsvariabelen:
Beschrijving
Variabele
HTTP-proxy zonder verificatie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy zonder verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy met verificatie
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy met verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de nieuwste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals:
Aanmeldgegevens database
Certificaatupdates
Wijzigingen in het autorisatiebeleid
Als u databaseverbindingen wilt versleutelen, stelt u uw PostgreSQL- of SQL Server-implementatie voor TLS in.
1 | Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in: In normale omgevingen:
In FedRAMP-omgevingen:
| ||||||||||||
2 | Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:
| ||||||||||||
3 | Voer bij de wachtwoordprompt deze hash in:
| ||||||||||||
4 | Download de nieuwste stabiele installatiekopie voor uw omgeving: In normale omgevingen:
In FedRAMP-omgevingen:
| ||||||||||||
5 | Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:
Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'. | ||||||||||||
6 |
Gebruik een webbrowser om naar de localhost te gaan De tool gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Het hulpprogramma geeft vervolgens de standaard aanmeldingsprompt weer. | ||||||||||||
7 | Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de Control Hub-klantbeheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan. | ||||||||||||
8 | Klik op de overzichtspagina van de installatietool op Aan de slag. | ||||||||||||
9 | Op de pagina ISO Import hebt u de volgende opties:
| ||||||||||||
10 | Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.
| ||||||||||||
11 | Voer het databaseadres en het account voor HDS in om toegang te krijgen tot uw belangrijke gegevensopslag: | ||||||||||||
12 | Selecteer een TLS-databaseverbindingsmodus:
Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-installatietool de TLS-verbinding met de databaseserver. Het hulpprogramma verifieert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, geeft het hulpprogramma een foutmelding waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en wilt doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de HDS-installatietool niet met succes kan worden getest.) | ||||||||||||
13 | Configureer uw Syslogd-server op de pagina Systeemlogboeken: | ||||||||||||
14 | (Optioneel) U kunt de standaardwaarde voor bepaalde parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u wilt wijzigen:
| ||||||||||||
15 | Klik op Doorgaan op het scherm Wachtwoord serviceaccounts opnieuw instellen. Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u wilt deze opnieuw instellen om eerdere ISO-bestanden ongeldig te maken. | ||||||||||||
16 | Klik op ISO-bestand downloaden. Sla het bestand op een gemakkelijk te vinden locatie op. | ||||||||||||
17 | Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||||||||||||
18 | Als u het installatieprogramma wilt afsluiten, typt u |
De volgende stappen
Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten voor herstel te maken of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het herstellen van de sleutels uit uw PostgreSQL- of Microsoft SQL Server-database is niet mogelijk.
We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze kwijtraakt. |
De HDS-host-OVA installeren
1 | Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host. | ||||||
2 | Selecteer File > Deploy OVF Template. | ||||||
3 | Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende. | ||||||
4 | Op de Selecteer een naam en map pagina, voer een in Naam virtuele machine voor het knooppunt (bijvoorbeeld 'HDS_Node_1') kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u vervolgens op Volgende. | ||||||
5 | Op de Een computerbron selecteren pagina, kies de bestemming compute resource en klik vervolgens op Volgende. Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloondetails weergegeven. | ||||||
6 | Controleer de sjabloondetails en klik op Volgende. | ||||||
7 | Als u wordt gevraagd de resourceconfiguratie te kiezen op de Configuratie pagina, klik op 4 CPU en klik vervolgens op Volgende. | ||||||
8 | Op de Selecteer opslag pagina, klik op Volgende om de standaard schijfindeling en het VM-opslagbeleid te accepteren. | ||||||
9 | Op de Selecteer netwerken-pagina, kies de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden. | ||||||
10 | Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen:
Indien gewenst kunt u de configuratie van de netwerkinstellingen overslaan en de stappen volgen in De hybride databeveiliging VM instellen om de instellingen vanaf de knooppuntconsole te configureren.
| ||||||
11 | Klik met de rechtermuisknop op het knooppunt VM en kies .De software voor hybride databeveiliging is geïnstalleerd als gast op de VM-host. U kunt zich nu aanmelden bij de console en het knooppunt configureren. Tips voor het oplossen van problemen U kunt een vertraging van een paar minuten ervaren voordat de knooppuntcontainers naar boven komen. Er verschijnt een brugfirewallbericht op de console tijdens de eerste keer opstarten, tijdens welke u zich niet kunt aanmelden. |
De VM voor hybride databeveiliging instellen
Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.
1 | Selecteer in de VMware vSphere-client uw knooppunt voor hybride databeveiliging VM en selecteer het tabblad Console. De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldprompt niet wordt weergegeven, drukt u op Enter.
|
2 | Gebruik de volgende standaardaanmelding en het volgende wachtwoord om u aan te melden en de aanmeldgegevens te wijzigen: Aangezien u zich voor de eerste keer aanmeldt bij uw VM, moet u het beheerderswachtwoord wijzigen. |
3 | Als u de netwerkinstellingen al hebt geconfigureerd in Install the HDS Host OVA, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken. |
4 | Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund. |
5 | (Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om aan uw netwerkbeleid te voldoen. U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen. |
6 | Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen van kracht worden. |
De HDS-configuratie-ISO uploaden en koppelen
Voordat u begint
Omdat het ISO-bestand de hoofdsleutel bevat, mag het alleen worden blootgesteld op een 'need to know'-basis, voor toegang door de VM's voor hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen die beheerders toegang hebben tot de gegevensopslag.
1 | Upload het ISO-bestand vanaf uw computer: |
2 | Koppel het ISO-bestand: |
De volgende stappen
Als uw IT-beleid dit vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.
Het HDS-knooppunt configureren voor proxyintegratie
Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride databeveiliging. Als u een transparante inspecterende proxy of een expliciete HTTPS-proxy kiest, kunt u de interface van het knooppunt gebruiken om het hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding controleren vanuit de interface en mogelijke problemen oplossen.
Voordat u begint
Zie Proxyondersteuning voor een overzicht van de ondersteunde proxyopties.
1 | Voer de URL voor het instellen van het HDS-knooppunt in |
2 | Ga naar Trust Store & Proxy en kies een optie:
Volg de volgende stappen voor een transparante inspecterende proxy, een expliciete HTTP-proxy met basisverificatie of een expliciete HTTPS-proxy. |
3 | Klik op Upload a Root Certificate or End Entity Certificate (Een hoofdcertificaat uploaden of een entiteitscertificaat beëindigen) en navigeer vervolgens naar een hoofdcertificaat voor de proxy kiezen. Het certificaat is geüpload maar nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijl van de chevron bij de naam van de certificaatverstrekker voor meer informatie of klik op Verwijderen als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden. |
4 | Klik op Proxyverbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen. Als de verbindingstest mislukt, ziet u een foutbericht met de reden en hoe u het probleem kunt oplossen. Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken. Deze voorwaarde wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de modus Geblokkeerde externe DNS-resolutie. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u Geblokkeerde externe DNS-resolutiemodus uitschakelen. |
5 | Nadat de verbindingstest is verlopen en de expliciete proxy alleen is ingesteld op https, schakelt u de schakelaar in op Alle poort 443/444-https-verzoeken van dit knooppunt routeren via de expliciete proxy. Deze instelling heeft 15 seconden nodig om van kracht te worden. |
6 | Klik op Alle certificaten installeren in de Trust Store (wordt weergegeven voor een expliciete HTTPS-proxy of een transparante inspecterende proxy) of Opnieuw opstarten (wordt weergegeven voor een expliciete HTTP-proxy), lees de prompt en klik vervolgens op Installeren als u klaar bent. Het knooppunt wordt binnen een paar minuten opnieuw opgestart. |
7 | Nadat het knooppunt opnieuw is opgestart, meldt u zich indien nodig opnieuw aan en opent u de pagina Overzicht om de connectiviteitscontroles te controleren en ervoor te zorgen dat ze allemaal groen zijn. Met de proxyverbindingscontrole wordt alleen een subdomein van webex.com getest. Als er verbindingsproblemen zijn, is een algemeen probleem dat sommige van de clouddomeinen die in de installatie-instructies worden vermeld, worden geblokkeerd bij de proxy. |
Het eerste knooppunt in het cluster registreren
Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd om redundantie te bieden.
Voordat u begint
Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.
Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.
1 | Meld u aan bij https://admin.webex.com. |
2 | Selecteer Services in het menu links op het scherm. |
3 | Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellen. De pagina Knooppunt voor hybride databeveiliging registreren wordt weergegeven.
|
4 | Selecteer Ja om aan te geven dat u het knooppunt hebt ingesteld en klaar bent om het te registreren. Klik vervolgens op Volgende. |
5 | Voer in het eerste veld een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen. We raden u aan een cluster een naam te geven op basis van waar de knooppunten van het cluster zich geografisch bevinden. Voorbeelden: "San Francisco" of "New York" of "Dallas" |
6 | Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende. Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein dat u hebt gebruikt in De VM voor hybride databeveiliging instellen. Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex.
|
7 | Klik op Ga naar knooppunt. |
8 | Klik in het waarschuwingsbericht op Doorgaan. Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.
|
9 | Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan. Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
|
10 | Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub. Op de pagina Hybride databeveiliging wordt het nieuwe cluster weergegeven met het knooppunt dat u hebt geregistreerd. Het knooppunt downloadt automatisch de nieuwste software vanuit de cloud.
|
Meer knooppunten maken en registreren
Op dit moment zijn de back-up-VM's die u hebt gemaakt in Voldoen aan de vereisten voor hybride databeveiliging stand-byhosts die alleen worden gebruikt in het geval van noodherstel. Ze zijn tot die tijd niet geregistreerd bij het systeem. Zie Noodherstel met behulp van het stand-bydatacenter voor meer informatie. |
Voordat u begint
Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.
Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.
1 | Maak een nieuwe virtuele machine vanuit de OVA en herhaal de stappen in Installeer de HDS-host-OVA. |
2 | Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De hybride databeveiliging instellen. |
3 | Herhaal op de nieuwe VM de stappen in Upload and Mount the HDS Configuration ISO. |
4 | Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Configureer het HDS-knooppunt voor proxyintegratie indien nodig voor het nieuwe knooppunt. |
5 | Registreer het knooppunt. Uw knooppunt is geregistreerd. Houd er rekening mee dat totdat u een proefperiode start, uw knooppunten een alarm genereren dat aangeeft dat uw service nog niet is geactiveerd.
|
De volgende stappen
Doorstroom proefperiode naar productietaak
Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers toevoegen en deze gaan gebruiken om uw implementatie te testen en te verifiëren ter voorbereiding op de overgang naar productie.
Voordat u begint
1 | Indien van toepassing, synchroniseer de Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de |
2 |
Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd. |
3 | Uw implementatie voor hybride databeveiliging testen Controleer of belangrijke aanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging. |
4 | Gezondheid van hybride databeveiliging controleren Controleer de status en stel e-mailmeldingen in voor alarmen. |
5 | |
6 | Voltooi de onderzoeksfase met een van de volgende acties: |
Proefperiode activeren
Voordat u begint
Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup
groepsobject voor synchronisatie met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.
1 | Meld u aan bij https://admin.webex.com en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Servicestatus op Proefperiode starten. De servicestatus verandert in de proefmodus.
|
4 | Klik op Gebruikers toevoegen en voer het e-mailadres van een of meer gebruikers in om uw knooppunten voor hybride databeveiliging te gebruiken voor codering- en indexeringsservices. (Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory om de testgroep te beheren, |
Uw implementatie voor hybride databeveiliging testen
Voordat u begint
Stel uw implementatie voor hybride databeveiliging in.
Activeer de proefperiode en voeg verschillende proefgebruikers toe.
Zorg ervoor dat u toegang hebt tot de syslog om te controleren of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.
1 | Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilootgebruikers en maak vervolgens een ruimte en nodig ten minste één pilootgebruiker en één niet-pilootgebruiker uit.
| ||
2 | Verzend berichten naar de nieuwe ruimte. | ||
3 | Controleer de syslog-uitvoer om te controleren of de sleutelaanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging. |
Gezondheid van hybride databeveiliging controleren
1 | Selecteer in Control HubServices in het menu links op het scherm. |
2 | Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellingen. De pagina Instellingen voor hybride databeveiliging wordt weergegeven.
|
3 | Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen gescheiden door komma's en druk op Enter. |
Gebruikers toevoegen aan of verwijderen uit uw proefperiode
Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker om sleutels en sleutels te maken vanuit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die is opgeslagen op uw KMS, zal de cloud-KMS deze namens de gebruiker ophalen.
Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep te beheren, HdsTrialGroup
; u kunt de groepsleden weergeven in Control Hub, maar ze niet toevoegen of verwijderen.
1 | Meld u aan bij Control Hub en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Proefmodus van het gebied Servicestatus op Gebruikers toevoegen of klik op weergeven en bewerken om gebruikers uit de proefperiode te verwijderen. |
4 | Voer het e-mailadres in van een of meer gebruikers die u wilt toevoegen of klik op de X met een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan . |
Overstappen van proefperiode naar productie
1 | Meld u aan bij Control Hub en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Servicestatus op Verplaatsen naar productie. |
4 | Bevestig dat u al uw gebruikers naar de productie wilt verplaatsen. |
Uw proefperiode beëindigen zonder over te stappen naar productie
1 | Meld u aan bij Control Hub en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Deactiveren op Deactiveren. |
4 | Bevestig dat u de service wilt deactiveren en beëindig de proefperiode. |
HDS-implementatie beheren
Gebruik de taken die hier worden beschreven om uw implementatie voor hybride databeveiliging te beheren.
Upgradeschema voor cluster instellen
De upgradeplanning instellen:
1 | Meld u aan Control Hub. |
2 | Klik op de pagina Overzicht onder Hybride services op Hybride databeveiliging. |
3 | Selecteer het cluster op de pagina Resources voor hybride databeveiliging. |
4 | Selecteer in het deelvenster Overzicht aan de rechterkant onder Clusterinstellingen de clusternaam. |
5 | Selecteer op de pagina Instellingen onder Upgraden de tijd en tijdzone voor het upgradeschema. Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen naar de volgende dag door op Uitstellen te klikken. |
De knooppuntconfiguratie wijzigen
x.509-certificaten wijzigen vanwege verlopen of andere redenen.
We ondersteunen het wijzigen van de CN- domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om het cluster te registreren.
Database-instellingen bijwerken om te wijzigen in een replica van de PostgreSQL- of Microsoft SQL Server-database.
We bieden geen ondersteuning voor het migreren van gegevens van PostgreSQL naar Microsoft SQL Server, of andersom. Als u de databaseomgeving wilt wijzigen, start u een nieuwe implementatie van Hybrid Data Security.
Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.
Om veiligheidsredenen gebruikt hybride databeveiliging serviceaccountwachtwoorden die elke 9 maanden worden gewijzigd. De HDS-setuptool genereert deze wachtwoorden en u implementeert ze in uw HDS-knooppunten als onderdeel van het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een 'kennisgeving van het verlopen van uw wachtwoord' van het Webex-team, waarin u wordt gevraagd het wachtwoord van uw machineaccount opnieuw in te stellen. (De e-mail bevat de tekst 'Gebruik de computeraccount- API om het wachtwoord bij te werken.') Als uw wachtwoorden nog niet zijn verlopen, biedt het hulpprogramma u twee opties:
Zachte reset —De oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO -bestand op de knooppunten geleidelijk te vervangen.
Harde reset —De oude wachtwoorden werken onmiddellijk niet meer.
Als uw wachtwoorden verlopen zonder een reset, heeft dit gevolgen voor uw HDS-service, waardoor een onmiddellijke harde reset en vervanging van het ISO -bestand op alle knooppunten nodig is.
Gebruik deze procedure om een nieuw ISO -configuratiebestand te genereren en dit toe te passen op uw cluster.
Voordat u begint
De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.
Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen bij het weergeven van de Docker-container in 1.e. Deze tabel geeft enkele mogelijke omgevingsvariabelen:
Beschrijving
Variabele
HTTP-proxy zonder verificatie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy zonder verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy met verificatie
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy met verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel die de PostgreSQL- of Microsoft SQL Server-database versleutelt. U hebt de ISO nodig wanneer u configuratiewijzigingen aanbrengt, inclusief databasereferenties, certificaatupdates of wijzigingen in het autorisatiebeleid.
1 | Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt. |
2 | Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor het -knooppunt en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies. |
3 | Koppel het ISO -bestand voor bestaande HDS-knooppunten waarop het oudere configuratiebestand wordt uitgevoerd. Voer de volgende procedure uit op elk knooppunt en werk elk knooppunt bij voordat u het volgende knooppunt uitschakelt: |
4 | Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen. |
Geblokkeerde externe DNS-resolutiemodus uitschakelen
Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. Als de DNS-server van het knooppunt geen openbare DNS-namen kan oplossen, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie.
Als uw knooppunten openbare DNS-namen kunnen oplossen via interne DNS-servers, kunt u deze modus uitschakelen door de proxyverbindingstest op elk knooppunt opnieuw uit te voeren.
Voordat u begint
1 | Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/instellingen, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden. |
2 | Ga naar Overzicht (de standaardpagina). Indien ingeschakeld, Geblokkeerde externe DNS omzetting is ingesteld op Ja . |
3 | Ga naar de pagina Vertrouwensarchief & Proxy. |
4 | Klik op Proxyverbinding controleren. Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken en blijft deze modus actief. Anders moet de geblokkeerde externe DNS-resolutie worden ingesteld op nee nadat u het knooppunt opnieuw hebt opgestart en teruggaat naar de pagina Overzicht. |
De volgende stappen
Een knooppunt verwijderen
1 | Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en de virtuele machine uit te schakelen. |
2 | Verwijder het knooppunt: |
3 | Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.) Als u de VM niet verwijdert, moet u het ISO-configuratiebestand loskoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken om toegang te krijgen tot uw beveiligingsgegevens. |
Noodherstel met behulp van het stand-bydatacenter
De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt voor het coderen van berichten en andere inhoud die in de Webex-cloud is opgeslagen. Voor elke gebruiker binnen de organisatie die is toegewezen aan hybride databeveiliging, worden nieuwe aanvragen voor het maken van sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de sleutels die zijn gemaakt aan gebruikers die bevoegd zijn om ze op te halen, bijvoorbeeld leden van een gespreksruimte.
Omdat het cluster de kritieke functie van het leveren van deze sleutels vervult, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden behouden. Verlies van de database met hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van inhoud van de klant. De volgende praktijken zijn verplicht om een dergelijk verlies te voorkomen:
Als door een calamiteit de HDS-implementatie in het primaire datacenter niet meer beschikbaar is, volgt u deze procedure om handmatig te failover te gaan naar het stand-bydatacenter.
1 | Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts. | ||
2 | Klik na het configureren van de Syslogd-server op Geavanceerde instellingen | ||
3 | Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe of verwijder de
| ||
4 | Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op. | ||
5 | Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||
6 | Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.. | ||
7 | Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.
| ||
8 | Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn. | ||
9 | Herhaal het proces voor elk knooppunt in het stand-bydatacenter.
|
De volgende stappen
(Optioneel) ISO loskoppelen na HDS-configuratie
De standaard HDS-configuratie wordt uitgevoerd met de ISO gemonteerd. Maar sommige klanten geven er de voorkeur aan ISO-bestanden niet continu gemonteerd achter te laten. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.
U gebruikt de ISO-bestanden nog steeds om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de installatietool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra al uw knooppunten de configuratiewijzigingen hebben overgenomen, kunt u de ISO opnieuw loskoppelen met deze procedure.
Voordat u begint
Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.
1 | Sluit een van uw HDS-knooppunten af. |
2 | Selecteer het HDS-knooppunt in het vCenter-serverapparaat. |
3 | Kies ISO-gegevensopslagbestand uitschakelen. en |
4 | Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 20 minuten geen alarmen zijn. |
5 | Herhaal dit om de beurt voor elk HDS-knooppunt. |
Waarschuwingen en problemen weergeven
Een implementatie voor hybride databeveiliging wordt als onbeschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als het cluster zo traag werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:
Nieuwe ruimten kunnen niet worden gemaakt (kan geen nieuwe sleutels maken)
Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:
Nieuwe gebruikers toegevoegd aan een ruimte (kan geen toetsen ophalen)
Bestaande gebruikers in een ruimte met een nieuwe client (kan geen sleutels ophalen)
Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben
Het is belangrijk dat u uw cluster voor hybride databeveiliging goed bewaakt en alle waarschuwingen onmiddellijk aanpakt om onderbrekingen van de service te voorkomen.
Waarschuwingen
Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen aan de organisatiebeheerder weer en worden e-mails naar het geconfigureerde e-mailadres verzonden. De waarschuwingen behandelen veel voorkomende scenario's.
Alarm | Actie |
---|---|
Toegang tot lokale database mislukt. |
Controleer op databasefouten of problemen met het lokale netwerk. |
Lokale databaseverbinding mislukt. |
Controleer of de databaseserver beschikbaar is en of de juiste serviceaccountgegevens zijn gebruikt in de knooppuntconfiguratie. |
Toegang tot cloudservice mislukt. |
Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Externe verbindingsvereisten. |
Cloudserviceregistratie vernieuwen. |
Registratie bij cloudservices is geschrapt. De registratie wordt vernieuwd. |
Registratie van cloudservice is verbroken. |
Registratie voor cloudservices is beëindigd. De service wordt afgesloten. |
Service nog niet geactiveerd. |
Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie. |
Het geconfigureerde domein komt niet overeen met het servercertificaat. |
Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein. De meest waarschijnlijke oorzaak is dat de CN van het certificaat onlangs is gewijzigd en nu verschilt van de CN die tijdens de eerste installatie is gebruikt. |
Kan niet verifiëren bij cloudservices. |
Controleer of de gegevens van het serviceaccount correct zijn en mogelijk verlopen. |
Kan lokaal keystore-bestand niet openen. |
Controleer op integriteit en nauwkeurigheid van het wachtwoord in het lokale keystore-bestand. |
Lokaal servercertificaat is ongeldig. |
Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie. |
Kan statistieken niet plaatsen. |
Controleer de toegang van het lokale netwerk tot externe cloudservices. |
/media/configdrive/hds directory bestaat niet. |
Controleer de ISO-montageconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om opnieuw op te starten en of het met succes wordt geïnstalleerd. |
Problemen met hybride databeveiliging oplossen
1 | Controleer Control Hub op waarschuwingen en los alle items op die u daar vindt. |
2 | Controleer de uitvoer van de syslog-server voor activiteit vanuit de implementatie voor hybride databeveiliging. |
3 | Neem contact op met de ondersteuning van Cisco. |
Bekende problemen voor hybride databeveiliging
Als u uw cluster voor hybride databeveiliging afsluit (door het te verwijderen in Control Hub of door alle knooppunten af te sluiten), uw configuratie-ISO-bestand verliest of toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst met personen die zijn gemaakt met toetsen van uw KMS. Dit geldt zowel voor proefperioden als voor productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en dringen er bij u op aan om uw HDS-services niet af te sluiten zodra ze actieve gebruikersaccounts afhandelen.
Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een periode (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefperiode voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken tot er een time-out optreedt. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact opneemt voor coderingssleutels.
Hetzelfde gedrag treedt op wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle niet-proefgebruikers met bestaande ECDH-verbindingen met de vorige gegevensbeveiligingsservices blijven deze services gebruiken totdat er opnieuw wordt onderhandeld over de ECDH-verbinding (via time-out of door afmelden en weer aanmelden).
OpenSSL gebruiken om een PKCS12-bestand te genereren
Voordat u begint
OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS Setup Tool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten niet op de een of andere manier.
Als u ervoor kiest om OpenSSL te gebruiken, bieden we deze procedure aan als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.
Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.
Maak een privésleutel aan.
Start deze procedure wanneer u het servercertificaat ontvangt van uw certificeringsinstantie (CA).
1 | Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als |
2 | Geef het certificaat weer als tekst en controleer de details.
|
3 | Gebruik een teksteditor om een certificaatbundelbestand met de naam
|
4 | Maak het .p12-bestand met de vriendelijke naam
|
5 | Controleer de gegevens van het servercertificaat. |
De volgende stappen
Ga terug naar Vereisten voor hybride databeveiliging voltooien. U gebruikt de hdsnode.p12
bestand en het wachtwoord dat u ervoor hebt ingesteld, in Create a Configuration ISO for the HDS Hosts.
U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt. |
Verkeer tussen de HDS-knooppunten en de cloud
Verkeer voor verzameling uitgaande statistieken
De knooppunten voor hybride databeveiliging sturen bepaalde statistieken naar de Webex-cloud. Dit zijn onder andere systeemstatistieken voor de maximale heap, gebruikte heap, CPU-belasting en draadtelling; statistieken over synchrone en asynchrone threads; statistieken over waarschuwingen met een drempelwaarde voor coderingsverbindingen, latentie of de lengte van een aanvraagwachtrij; statistieken over de gegevensopslag; en coderingsverbindingsstatistieken. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (gescheiden van het verzoekkanaal).
Inkomend verkeer
De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer vanuit de Webex-cloud:
Coderingsverzoeken van clients die door de coderingsservice worden gerouteerd
Upgrades naar de knooppuntsoftware
Squid-proxy's configureren voor hybride databeveiliging
Websocket kan geen verbinding maken via de Squid Proxy
Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de instelling van websocket ( wss:
) verbindingen die Hybride databeveiliging vereist. Deze secties bieden richtlijnen voor het configureren van verschillende versies van Squid om te negeren wss:
verkeer voor de goede werking van de diensten.
Inktvis 4 en 5
Voeg de on_unsupported_protocol
richtlijn tot squid.conf
:
on_unsupported_protocol tunnel all
Pijlinktvis 3.5.27
We hebben hybride databeveiliging met succes getest met de volgende regels toegevoegd aan squid.conf
. Deze regels kunnen worden gewijzigd bij het ontwikkelen van functies en het bijwerken van de Webex-cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nieuwe en gewijzigde informatie
Datum | Aangebrachte wijzigingen | ||
---|---|---|---|
20 oktober 2023 |
| ||
07 augustus 2023 |
| ||
23 mei 2023 |
| ||
06 december 2022 |
| ||
23 november 2022 |
| ||
13 oktober 2021 | Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker Desktop. | ||
24 juni 2021 | U kunt het bestand met de privésleutel en de CSR opnieuw gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie. | ||
30 april 2021 | De VM-vereiste voor lokale harde schijfruimte is gewijzigd in 30 GB. Zie Vereisten voor virtuele host voor meer informatie. | ||
24 februari 2021 | De HDS-installatietool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO maken voor de HDS-hosts voor meer informatie. | ||
2 februari 2021 | HDS kan nu worden uitgevoerd zonder een gemonteerd ISO-bestand. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie. | ||
11 januari 2021 | Informatie toegevoegd over het hulpprogramma HDS-instellingen en proxy's om een configuratie-ISO voor de HDS-hosts te maken. | ||
13 oktober 2020 | Bijgewerkte Installatiebestanden downloaden. | ||
8 oktober 2020 | Configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt. | ||
14 augustus 2020 | De configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces. | ||
5 augustus 2020 | Bijgewerkte Test uw implementatie voor hybride databeveiliging voor wijzigingen in logboekberichten. De vereisten voor de virtuele host zijn bijgewerkt om het maximale aantal hosts te verwijderen. | ||
16 juni 2020 | Bijgewerkt Een knooppunt verwijderen voor wijzigingen in de gebruikersinterface van Control Hub. | ||
4 juni 2020 | De ISO voor configuratie maken voor de HDS-hosts is bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk hebt ingesteld. | ||
29 mei 2020 | Bijgewerkt: maak een configuratie-ISO voor de HDS-hosts om aan te geven dat u ook TLS kunt gebruiken met SQL Server-databases, gebruikersgebruikerswijzigingen en andere verduidelijkingen. | ||
5 mei 2020 | De vereisten voor de virtuele host zijn bijgewerkt om de nieuwe vereisten voor ESXi 6.5 weer te geven. | ||
21 april 2020 | Bijgewerkte Externe connectiviteitsvereisten met nieuwe Americas CI-hosts. | ||
1 april 2020 | Bijgewerkte Externe connectiviteitsvereisten met informatie over regionale CI-hosts. | ||
20 februari 2020 | Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met informatie over het nieuwe optionele scherm Geavanceerde instellingen in de HDS-installatietool. | ||
4 februari 2020 | Proxyserververeisten bijgewerkt. | ||
16 december 2019 | De vereiste voor geblokkeerde externe DNS-resolutiemodus is verduidelijkt om te werken in de vereisten voor de proxyserver. | ||
19 november 2019 | Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende gedeelten: | ||
8 november 2019 | U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van erna. De volgende gedeelten zijn dienovereenkomstig bijgewerkt:
| ||
6 september 2019 | Standaard SQL-server toegevoegd aan vereisten voor databaseserver. | ||
29 augustus 2019 | Bijlage Squid-proxy's configureren voor hybride databeveiliging toegevoegd met richtlijnen voor het configureren van squid-proxy's om websocketverkeer te negeren voor een goede werking. | ||
20 augustus 2019 | Er zijn gedeelten toegevoegd en bijgewerkt voor proxyondersteuning voor communicatie van knooppunten voor hybride databeveiliging naar de Webex-cloud. Zie het Help-artikel Proxy-ondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie. | ||
13 juni 2019 | Bijgewerkte Trial to Production Task Flow met een herinnering om de HdsTrialGroup groepsobject voordat een proefperiode wordt gestart als uw organisatie adreslijstsynchronisatie gebruikt. | ||
6 maart 2019 |
| ||
28 februari 2019 |
| ||
26 februari 2019 |
| ||
24 januari 2019 |
| ||
5 november 2018 |
| ||
19 oktober 2018 |
| ||
31 juli 2018 |
| ||
21 mei 2018 | Gewijzigde terminologie om de rebranding van Cisco Spark weer te geven:
| ||
11 april 2018 |
| ||
22 februari 2018 |
| ||
15 februari 2018 |
| ||
18 januari 2018 |
| ||
2 november 2017 |
| ||
18 augustus 2017 | Voor het eerst gepubliceerd |
Overzicht van hybride databeveiliging
Vanaf dag één is gegevensbeveiliging de belangrijkste focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end inhoudsversleuteling, mogelijk gemaakt door Webex -app-clients die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografische sleutels die clients gebruiken om berichten en bestanden dynamisch te versleutelen en ontsleutelen.
Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride gegevensbeveiliging verplaatst het KMS en andere beveiligingsgerelateerde functies naar het bedrijfsgegevens , zodat niemand anders dan u de sleutels heeft tot uw versleutelde inhoud.
Architectuur beveiligingsgebied
De Webex-cloudarchitectuur scheidt verschillende soorten service in afzonderlijke realms of vertrouwensdomeinen, zoals hieronder wordt weergegeven.
Laten we eerst eens kijken naar deze zuivere cloudcase, waarin Cisco alle functies in zijn clouddomeinen aanbiedt om meer inzicht te krijgen in hybride databeveiliging. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks kunnen worden gecorreleerd met hun persoonlijke informatie zoals e-mailadres, is logisch en fysiek gescheiden van de beveiligingsrealm in datacenter B. Beide zijn op hun beurt gescheiden van de realm waar versleutelde inhoud uiteindelijk wordt opgeslagen, in datacenter C.
In dit diagram is de client de Webex-app die wordt uitgevoerd op de laptop van een gebruiker en is deze geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:
De client maakt een veilige verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel om het bericht te versleutelen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.
Het bericht wordt gecodeerd voordat het de client verlaat. De klant stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.
Het gecodeerde bericht wordt verzonden naar de nalevingsservice voor nalevingscontroles.
Het gecodeerde bericht wordt opgeslagen in de opslagrealm.
Wanneer u hybride databeveiliging implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de realms van Cisco.
Samenwerken met andere organisaties
Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, routeert uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS te krijgen en stuurt de sleutel vervolgens terug naar uw gebruiker op het oorspronkelijke kanaal.
De KMS-service die wordt uitgevoerd in organisatie A valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw implementatie voor hybride databeveiliging.
Verwachtingen voor het implementeren van hybride databeveiliging
Een implementatie van hybride databeveiliging vereist een aanzienlijke klantbetrokkenheid en een bewustzijn van de risico's van het bezit van coderingssleutels.
Als u hybride databeveiliging wilt implementeren, moet u het volgende opgeven:
Een beveiligd datacenter in een land dat een ondersteunde locatie is voor de Cisco Webex Teams-plannen.
De apparatuur, software en netwerktoegang die worden beschreven in Prepare Your Environment.
Volledig verlies van de configuratie-ISO die u maakt voor hybride databeveiliging of de database die u levert, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers inhoud van de ruimte en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar alleen nieuwe inhoud is zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:
De back-up en het herstel van de database en de configuratie-ISO beheren.
Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing in de databaseschijf of een ramp met het datacenter.
Er is geen mechanisme om sleutels na een HDS-implementatie terug naar de cloud te verplaatsen. |
Installatieproces op hoog niveau
Dit document behandelt het instellen en beheren van een implementatie voor hybride databeveiliging:
Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset gebruikers in de proefmodus en, zodra uw tests zijn voltooid, het verplaatsen naar productie. Hiermee wordt de hele organisatie geconverteerd om uw cluster voor hybride databeveiliging te gebruiken voor beveiligingsfuncties.
De installatie-, proef- en productiefasen worden in de volgende drie hoofdstukken in detail besproken.
Uw implementatie voor hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch voortdurende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig ondersteuning van Cisco inschakelen. U kunt meldingen op het scherm gebruiken en op e-mail gebaseerde waarschuwingen instellen in Control Hub.
Algemene waarschuwingen, stappen voor probleemoplossing en bekende problemen begrijpen: als u problemen ondervindt bij het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.
Implementatiemodel voor hybride databeveiliging
In uw bedrijfsdatacenter implementeert u hybride databeveiliging als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.
Tijdens het installatieproces bieden we u het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt monteert. Het cluster Hybride databeveiliging gebruikt de door u geleverde Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de details van de Syslogd- en databaseverbinding in de HDS-installatietool.)
Het minimumaantal knooppunten dat u in een cluster kunt hebben is twee. We raden ten minste drie aan en u kunt er maximaal vijf hebben. Als u meerdere knooppunten hebt, wordt de service niet onderbroken tijdens een software-upgrade of andere onderhoudsactiviteit op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)
Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en logboekactiviteit op dezelfde syslog-server. De knooppunten zelf zijn stateloos, en behandelen belangrijke verzoeken in round-robin mode, zoals geregisseerd door de cloud.
Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt buiten gebruik wilt stellen, kunt u de registratie ongedaan maken en later opnieuw registreren, indien nodig.
We ondersteunen slechts één cluster per organisatie.
Proefmodus voor hybride databeveiliging
Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u dit eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.
Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de pilootgebruikers en alle gebruikers met wie ze tijdens de proefperiode interactie hebben gehad door nieuwe ruimten te maken, de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.
Als u ervan overtuigd bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilootgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, bijvoorbeeld om noodherstel uit te voeren, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilootgebruikers voor de nieuwe proefperiode instellen voordat u teruggaat naar de productiemodus. Of gebruikers op dit moment toegang tot gegevens behouden, hangt af van het feit of u back-ups van de sleutelgegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster hebt onderhouden.
Standby-datacenter voor noodherstel
Tijdens de implementatie stelt u een beveiligd stand-bydatacenter in. In het geval van een ramp met een datacenter kunt u uw implementatie handmatig overzetten naar het stand-bydatacenter.
De databases van de actieve en stand-by datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is om de failover uit te voeren, tot een minimum wordt beperkt. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten zijn geregistreerd bij de organisatie, maar geen verkeer afhandelen. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van de HDS-software.
De actieve knooppunten voor hybride databeveiliging moeten altijd in hetzelfde datacenter zijn als de actieve databaseserver. |
Standby-datacenter instellen voor noodherstel
Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:
Voordat u begint
Het stand-bydatacenter moet de productieomgeving van VM's en een back-up PostgreSQL- of Microsoft SQL Server-database weerspiegelen. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. (Zie Standby Data Center for Disaster Recovery voor een overzicht van dit failovermodel.)
Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database met actieve en passieve clusterknooppunten.
1 | Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.
| ||
2 | Klik na het configureren van de Syslogd-server op Geavanceerde instellingen | ||
3 | Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar wordt er geen verkeer afgehandeld.
| ||
4 | Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op. | ||
5 | Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||
6 | Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.. | ||
7 | Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.
| ||
8 | Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn. | ||
9 | Herhaal het proces voor elk knooppunt in het stand-bydatacenter.
|
De volgende stappen
Na het configureren passiveMode
in het ISO-bestand en opslaan, kunt u een andere kopie van het ISO-bestand maken zonder de passiveMode
configureren en opslaan op een veilige locatie. Deze kopie van het ISO-bestand zonder passiveMode
geconfigureerd kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met behulp van het stand-bydatacenter voor de gedetailleerde failoverprocedure.
Proxyondersteuning
Hybride databeveiliging ondersteunt expliciete, transparante en niet-inspecterende proxy's. U kunt deze proxy's aan uw implementatie koppelen zodat u het verkeer van de onderneming naar de cloud kunt beveiligen en bewaken. U kunt een platformbeheerinterface op de knooppunten gebruiken voor certificaatbeheer en om de algehele verbindingsstatus te controleren nadat u de proxy op de knooppunten hebt ingesteld.
De knooppunten voor hybride databeveiliging ondersteunen de volgende proxyopties:
Geen proxy: de standaardinstelling als u de HDS-knooppuntconfiguratie Vertrouwensarchief en proxy niet gebruikt om een proxy te integreren. Er is geen certificaatupdate vereist.
Transparante niet-inspecterende proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaatupdate vereist.
Transparante tunneling of inspectie van proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP- of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).
Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welk proxyserver- en verificatieschema u moet gebruiken. Als u een expliciete proxy wilt configureren, moet u de volgende informatie op elk knooppunt invoeren:
Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.
Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.
Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:
HTTP: geeft alle verzoeken weer die de client verzendt en beheert deze.
HTTPS: biedt een kanaal naar de server. De client ontvangt het servercertificaat en valideert het.
Verificatietype: kies uit de volgende verificatietypen:
Geen: er is geen verdere verificatie vereist.
Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.
Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.
Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.
Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.
Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.
Alleen beschikbaar als u HTTPS selecteert als proxyprotocol.
Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.
Voorbeeld van knooppunten voor hybride databeveiliging en proxy
In dit diagram ziet u een voorbeeldverbinding tussen hybride databeveiliging, netwerk en een proxy. Voor de opties voor transparante inspectie en HTTPS expliciete inspectie proxy moet hetzelfde hoofdcertificaat worden geïnstalleerd op de proxy en op de knooppunten voor hybride databeveiliging.
Geblokkeerde externe DNS-resolutiemodus (expliciete proxyconfiguraties)
Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. In implementaties met expliciete proxyconfiguraties die geen externe DNS-resolutie voor interne clients toestaan, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie als het knooppunt de DNS-servers niet kan opvragen. In deze modus kunnen knooppuntregistratie en andere proxyverbindingstests worden voortgezet.
Vereisten voor hybride databeveiliging
Vereisten voor Cisco Webex-licenties
Hybride databeveiliging implementeren:
U moet beschikken over het Pro-pakket voor Cisco Webex Control Hub. (Zie https://www.cisco.com/go/pro-pack.)
Vereisten voor Docker Desktop
Voordat u uw HDS-knooppunten installeert, hebt u Docker Desktop nodig om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie heeft mogelijk een betaald abonnement voor Docker Desktop nodig. Voor meer informatie raadpleegt u het Docker-blogbericht ' Docker werkt onze productabonnementen bij en verlengt deze ".
Vereisten voor X.509-certificaten
De certificaatketen moet aan de volgende vereisten voldoen:
Vereiste | Details |
---|---|
| Standaard vertrouwen we de CA’s in de Mozilla lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs. |
| De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die uw organisatie weergeeft, bijvoorbeeld: De algemene naam mag geen * (jokerteken) bevatten. De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren bij clients van de Webex-app. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden. Zodra u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat kan worden toegepast op zowel de proefperiode- als productie-implementaties. |
| De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties. |
| U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen. U moet het wachtwoord invoeren wanneer u de HDS-installatietool uitvoert. |
De KMS-software dwingt sleutelgebruik of uitgebreide beperkingen voor sleutelgebruik niet af. Sommige certificeringsinstanties vereisen dat uitgebreide belangrijke gebruiksbeperkingen worden toegepast op elk certificaat, zoals serververificatie. U mag de serververificatie of andere instellingen gebruiken.
Vereisten voor virtuele host
De virtuele hosts die u instelt als knooppunten voor hybride databeveiliging in uw cluster, hebben de volgende vereisten:
Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich in hetzelfde beveiligde datacenter bevinden
VMware ESXi 6.5 (of hoger) geïnstalleerd en actief.
U moet upgraden als u een eerdere versie van ESXi hebt.
Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server
Vereisten voor databaseserver
Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. Wanneer de HDS-toepassingen zijn geïnstalleerd, maakt u het databaseschema. |
Er zijn twee opties voor databaseserver. De vereisten voor elk zijn als volgt:
PostgreSQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen) | Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen) |
De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:
PostgreSQL | Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 | SQL JDBC-stuurprogramma van SQL Server 4.6 Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover Cluster Instances en Always On availability groups). |
Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server
Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:
De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.
Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees-/schrijftoegang hebben tot de database.
De DNS-servers die u aan HDS-knooppunten levert, moeten uw Key Distribution Center (KDC) kunnen oplossen.
U kunt de HDS-database-instantie op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een servicenaam registreren voor Kerberos-verbindingen.
De HDS-installatietool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens van uw ISO-configuratie om de SPN te construeren wanneer ze toegang aanvragen met Kerberos-verificatie.
Externe connectiviteitsvereisten
Configureer uw firewall om de volgende verbinding voor de HDS-toepassingen toe te staan:
App | Protocol | Poort | Richting van app | Bestemming |
---|---|---|---|---|
Knooppunten voor hybride databeveiliging | TCP | 443 | Uitgaande HTTPS en WSS |
|
Hulpprogramma voor HDS-instellingen | TCP | 443 | Uitgaande HTTPS |
|
De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die inkomend zijn naar de knooppunten voor hybride databeveiliging, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients voor beheerdoeleinden toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22. |
De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:
Regio | Host-URL's van Common Identity |
---|---|
Amerika |
|
Europese Unie |
|
Canada |
|
Vereisten voor proxyserver
We ondersteunen officieel de volgende proxyoplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride databeveiliging.
Transparante proxy: Cisco Web Security Appliance (WSA).
Expliciete proxy: Squid.
Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de oprichting van websocket verstoren (wss:) verbindingen. Zie Squid-proxy's configureren voor hybride databeveiliging voor meer informatie over dit probleem.
We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:
Geen verificatie met HTTP of HTTPS
Basisverificatie met HTTP of HTTPS
Digestverificatie met alleen HTTPS
Voor een transparante inspecterende proxy of een expliciete HTTPS-proxy moet u een kopie hebben van het hoofdcertificaat van de proxy. De implementatie-instructies in deze handleiding vertellen u hoe u de kopie kunt uploaden naar de vertrouwensarchieven van de knooppunten voor hybride databeveiliging.
Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 te dwingen via de proxy te routeren.
Proxy's die webverkeer inspecteren, kunnen de verbindingen met de websocket verstoren. Indien dit probleem zich voordoet, verkeer overslaan (niet inspecteren) naar
wbx2.com
enciscospark.com
zal het probleem oplossen.
Voldoen aan de vereisten voor hybride databeveiliging
1 | Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en ontvang de referenties van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces. | ||
2 | Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld | ||
3 | Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt ten minste twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter zijn geplaatst en voldoen aan de vereisten in Vereisten voor virtuele host. | ||
4 | Bereid de databaseserver voor die zal fungeren als de belangrijkste gegevensopslag voor het cluster, overeenkomstig de vereisten voor de databaseserver. De databaseserver moet samen met de virtuele hosts in het beveiligde datacenter worden geplaatst. | ||
5 | Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. | ||
6 | Stel een Syslog-host in om logboeken te verzamelen van de knooppunten in het cluster. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514). | ||
7 | Maak een veilig back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.
Clients van de Webex-app brengen hun sleutels in de cache, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen niet te voorkomen zijn, kunnen ze worden hersteld. Volledig verlies (geen back-ups beschikbaar) van de database of het ISO-configuratiebestand leidt echter tot niet-herstelbare klantgegevens. Van de beheerders van de knooppunten voor hybride databeveiliging wordt verwacht dat ze regelmatig back-ups van de database en het configuratie-ISO-bestand onderhouden, en dat ze bereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als er een catastrofale storing optreedt. | ||
8 | Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw hybride databeveiligingsknooppunten mogelijk maakt, zoals beschreven in Externe connectiviteitsvereisten. | ||
9 | Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft tot het besturingssysteem op http://127.0.0.1:8080. U gebruikt het Docker-exemplaar om de HDS-installatietool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratie-informatie op voor alle knooppunten voor hybride databeveiliging. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker Desktop voor meer informatie. Om de HDS-setuptool te installeren en uit te voeren, moet de lokale machine de connectiviteit hebben die wordt beschreven in Externe connectiviteitsvereisten. | ||
10 | Als u een proxy integreert met hybride databeveiliging, moet u ervoor zorgen dat deze voldoet aan de vereisten voor de proxyserver. | ||
11 | Als uw organisatie adreslijstsynchronisatie gebruikt, maakt u een groep in Active Directory met de naam
|
Taakstroom implementatie hybride databeveiliging
Voordat u begint
1 | Installatiebestanden downloaden Download het OVA-bestand naar uw lokale computer voor later gebruik. | ||
2 | Een configuratie-ISO maken voor de HDS-hosts Gebruik de HDS-installatietool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging. | ||
3 |
Maak een virtuele machine vanuit het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.
| ||
4 | De VM voor hybride databeveiliging instellen Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd ten tijde van de OVA-implementatie. | ||
5 | De HDS-configuratie-ISO uploaden en koppelen Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-installatietool. | ||
6 | Het HDS-knooppunt configureren voor proxyintegratie Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u indien nodig het proxycertificaat toe aan het vertrouwensarchief. | ||
7 | Het eerste knooppunt in het cluster registreren Registreer de VM bij de Cisco Webex-cloud als een knooppunt voor hybride databeveiliging. | ||
8 | Meer knooppunten maken en registreren Voltooi de clusterinstelling. | ||
9 | Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk) Totdat u een proefperiode start, genereren uw knooppunten een alarm dat aangeeft dat uw service nog niet is geactiveerd. |
Installatiebestanden downloaden
1 | Meld u aan bij https://admin.webex.com en klik vervolgens op Services. | ||||
2 | Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik vervolgens op Instellen. Als de kaart is uitgeschakeld of u deze niet ziet, neemt u contact op met uw accountteam of uw partnerorganisatie. Geef uw accountnummer en vraag of u uw organisatie wilt inschakelen voor hybride databeveiliging. Als u het accountnummer wilt vinden, klikt u op het tandwiel rechtsboven naast de naam van uw organisatie.
| ||||
3 | Selecteer Nee om aan te geven dat u het knooppunt nog niet hebt ingesteld en klik vervolgens op Volgende. Het OVA-bestand begint automatisch te downloaden. Sla het bestand op een locatie op uw computer op.
| ||||
4 | U kunt ook op Implementatiehandleiding openen klikken om te controleren of er een latere versie van deze handleiding beschikbaar is. |
Een configuratie-ISO maken voor de HDS-hosts
Het installatieproces voor hybride databeveiliging maakt een ISO-bestand. Vervolgens gebruikt u de ISO om uw host voor hybride databeveiliging te configureren.
Voordat u begint
De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.
Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5 opent. Deze tabel geeft enkele mogelijke omgevingsvariabelen:
Beschrijving
Variabele
HTTP-proxy zonder verificatie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy zonder verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy met verificatie
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy met verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de nieuwste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals:
Aanmeldgegevens database
Certificaatupdates
Wijzigingen in het autorisatiebeleid
Als u databaseverbindingen wilt versleutelen, stelt u uw PostgreSQL- of SQL Server-implementatie voor TLS in.
1 | Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in: In normale omgevingen:
In FedRAMP-omgevingen:
| ||||||||||||
2 | Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:
| ||||||||||||
3 | Voer bij de wachtwoordprompt deze hash in:
| ||||||||||||
4 | Download de nieuwste stabiele installatiekopie voor uw omgeving: In normale omgevingen:
In FedRAMP-omgevingen:
| ||||||||||||
5 | Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:
Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'. | ||||||||||||
6 |
Gebruik een webbrowser om naar de localhost te gaan De tool gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Het hulpprogramma geeft vervolgens de standaard aanmeldingsprompt weer. | ||||||||||||
7 | Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de Control Hub-klantbeheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan. | ||||||||||||
8 | Klik op de overzichtspagina van de installatietool op Aan de slag. | ||||||||||||
9 | Op de pagina ISO Import hebt u de volgende opties:
| ||||||||||||
10 | Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.
| ||||||||||||
11 | Voer het databaseadres en het account voor HDS in om toegang te krijgen tot uw belangrijke gegevensopslag: | ||||||||||||
12 | Selecteer een TLS-databaseverbindingsmodus:
Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-installatietool de TLS-verbinding met de databaseserver. Het hulpprogramma verifieert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, geeft het hulpprogramma een foutmelding waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en wilt doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de HDS-installatietool niet met succes kan worden getest.) | ||||||||||||
13 | Configureer uw Syslogd-server op de pagina Systeemlogboeken: | ||||||||||||
14 | (Optioneel) U kunt de standaardwaarde voor bepaalde parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u wilt wijzigen:
| ||||||||||||
15 | Klik op Doorgaan op het scherm Wachtwoord serviceaccounts opnieuw instellen. Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u wilt deze opnieuw instellen om eerdere ISO-bestanden ongeldig te maken. | ||||||||||||
16 | Klik op ISO-bestand downloaden. Sla het bestand op een gemakkelijk te vinden locatie op. | ||||||||||||
17 | Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||||||||||||
18 | Als u het installatieprogramma wilt afsluiten, typt u |
De volgende stappen
Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten voor herstel te maken of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het herstellen van de sleutels uit uw PostgreSQL- of Microsoft SQL Server-database is niet mogelijk.
We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze kwijtraakt. |
De HDS-host-OVA installeren
1 | Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host. | ||||||
2 | Selecteer File > Deploy OVF Template. | ||||||
3 | Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende. | ||||||
4 | Op de Selecteer een naam en map pagina, voer een in Naam virtuele machine voor het knooppunt (bijvoorbeeld 'HDS_Node_1') kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u vervolgens op Volgende. | ||||||
5 | Op de Een computerbron selecteren pagina, kies de bestemming compute resource en klik vervolgens op Volgende. Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloondetails weergegeven. | ||||||
6 | Controleer de sjabloondetails en klik op Volgende. | ||||||
7 | Als u wordt gevraagd de resourceconfiguratie te kiezen op de Configuratie pagina, klik op 4 CPU en klik vervolgens op Volgende. | ||||||
8 | Op de Selecteer opslag pagina, klik op Volgende om de standaard schijfindeling en het VM-opslagbeleid te accepteren. | ||||||
9 | Op de Selecteer netwerken-pagina, kies de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden. | ||||||
10 | Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen:
Indien gewenst kunt u de configuratie van de netwerkinstellingen overslaan en de stappen volgen in De hybride databeveiliging VM instellen om de instellingen vanaf de knooppuntconsole te configureren.
| ||||||
11 | Klik met de rechtermuisknop op het knooppunt VM en kies .De software voor hybride databeveiliging is geïnstalleerd als gast op de VM-host. U kunt zich nu aanmelden bij de console en het knooppunt configureren. Tips voor het oplossen van problemen U kunt een vertraging van een paar minuten ervaren voordat de knooppuntcontainers naar boven komen. Er verschijnt een brugfirewallbericht op de console tijdens de eerste keer opstarten, tijdens welke u zich niet kunt aanmelden. |
De VM voor hybride databeveiliging instellen
Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.
1 | Selecteer in de VMware vSphere-client uw knooppunt voor hybride databeveiliging VM en selecteer het tabblad Console. De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldprompt niet wordt weergegeven, drukt u op Enter.
|
2 | Gebruik de volgende standaardaanmelding en het volgende wachtwoord om u aan te melden en de aanmeldgegevens te wijzigen: Aangezien u zich voor de eerste keer aanmeldt bij uw VM, moet u het beheerderswachtwoord wijzigen. |
3 | Als u de netwerkinstellingen al hebt geconfigureerd in Install the HDS Host OVA, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken. |
4 | Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund. |
5 | (Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om aan uw netwerkbeleid te voldoen. U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen. |
6 | Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen van kracht worden. |
De HDS-configuratie-ISO uploaden en koppelen
Voordat u begint
Omdat het ISO-bestand de hoofdsleutel bevat, mag het alleen worden blootgesteld op een 'need to know'-basis, voor toegang door de VM's voor hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen die beheerders toegang hebben tot de gegevensopslag.
1 | Upload het ISO-bestand vanaf uw computer: |
2 | Koppel het ISO-bestand: |
De volgende stappen
Als uw IT-beleid dit vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.
Het HDS-knooppunt configureren voor proxyintegratie
Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride databeveiliging. Als u een transparante inspecterende proxy of een expliciete HTTPS-proxy kiest, kunt u de interface van het knooppunt gebruiken om het hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding controleren vanuit de interface en mogelijke problemen oplossen.
Voordat u begint
Zie Proxyondersteuning voor een overzicht van de ondersteunde proxyopties.
1 | Voer de URL voor het instellen van het HDS-knooppunt in |
2 | Ga naar Trust Store & Proxy en kies een optie:
Volg de volgende stappen voor een transparante inspecterende proxy, een expliciete HTTP-proxy met basisverificatie of een expliciete HTTPS-proxy. |
3 | Klik op Upload a Root Certificate or End Entity Certificate (Een hoofdcertificaat uploaden of een entiteitscertificaat beëindigen) en navigeer vervolgens naar een hoofdcertificaat voor de proxy kiezen. Het certificaat is geüpload maar nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijl van de chevron bij de naam van de certificaatverstrekker voor meer informatie of klik op Verwijderen als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden. |
4 | Klik op Proxyverbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen. Als de verbindingstest mislukt, ziet u een foutbericht met de reden en hoe u het probleem kunt oplossen. Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken. Deze voorwaarde wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de modus Geblokkeerde externe DNS-resolutie. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u Geblokkeerde externe DNS-resolutiemodus uitschakelen. |
5 | Nadat de verbindingstest is verlopen en de expliciete proxy alleen is ingesteld op https, schakelt u de schakelaar in op Alle poort 443/444-https-verzoeken van dit knooppunt routeren via de expliciete proxy. Deze instelling heeft 15 seconden nodig om van kracht te worden. |
6 | Klik op Alle certificaten installeren in de Trust Store (wordt weergegeven voor een expliciete HTTPS-proxy of een transparante inspecterende proxy) of Opnieuw opstarten (wordt weergegeven voor een expliciete HTTP-proxy), lees de prompt en klik vervolgens op Installeren als u klaar bent. Het knooppunt wordt binnen een paar minuten opnieuw opgestart. |
7 | Nadat het knooppunt opnieuw is opgestart, meldt u zich indien nodig opnieuw aan en opent u de pagina Overzicht om de connectiviteitscontroles te controleren en ervoor te zorgen dat ze allemaal groen zijn. Met de proxyverbindingscontrole wordt alleen een subdomein van webex.com getest. Als er verbindingsproblemen zijn, is een algemeen probleem dat sommige van de clouddomeinen die in de installatie-instructies worden vermeld, worden geblokkeerd bij de proxy. |
Het eerste knooppunt in het cluster registreren
Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd om redundantie te bieden.
Voordat u begint
Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.
Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.
1 | Meld u aan bij https://admin.webex.com. |
2 | Selecteer Services in het menu links op het scherm. |
3 | Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellen. De pagina Knooppunt voor hybride databeveiliging registreren wordt weergegeven.
|
4 | Selecteer Ja om aan te geven dat u het knooppunt hebt ingesteld en klaar bent om het te registreren. Klik vervolgens op Volgende. |
5 | Voer in het eerste veld een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen. We raden u aan een cluster een naam te geven op basis van waar de knooppunten van het cluster zich geografisch bevinden. Voorbeelden: "San Francisco" of "New York" of "Dallas" |
6 | Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende. Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein dat u hebt gebruikt in De VM voor hybride databeveiliging instellen. Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex.
|
7 | Klik op Ga naar knooppunt. |
8 | Klik in het waarschuwingsbericht op Doorgaan. Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.
|
9 | Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan. Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
|
10 | Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub. Op de pagina Hybride databeveiliging wordt het nieuwe cluster weergegeven met het knooppunt dat u hebt geregistreerd. Het knooppunt downloadt automatisch de nieuwste software vanuit de cloud.
|
Meer knooppunten maken en registreren
Op dit moment zijn de back-up-VM's die u hebt gemaakt in Voldoen aan de vereisten voor hybride databeveiliging stand-byhosts die alleen worden gebruikt in het geval van noodherstel. Ze zijn tot die tijd niet geregistreerd bij het systeem. Zie Noodherstel met behulp van het stand-bydatacenter voor meer informatie. |
Voordat u begint
Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.
Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.
1 | Maak een nieuwe virtuele machine vanuit de OVA en herhaal de stappen in Installeer de HDS-host-OVA. |
2 | Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De hybride databeveiliging instellen. |
3 | Herhaal op de nieuwe VM de stappen in Upload and Mount the HDS Configuration ISO. |
4 | Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Configureer het HDS-knooppunt voor proxyintegratie indien nodig voor het nieuwe knooppunt. |
5 | Registreer het knooppunt. Uw knooppunt is geregistreerd. Houd er rekening mee dat totdat u een proefperiode start, uw knooppunten een alarm genereren dat aangeeft dat uw service nog niet is geactiveerd.
|
De volgende stappen
Doorstroom proefperiode naar productietaak
Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers toevoegen en deze gaan gebruiken om uw implementatie te testen en te verifiëren ter voorbereiding op de overgang naar productie.
Voordat u begint
1 | Indien van toepassing, synchroniseer de Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de |
2 |
Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd. |
3 | Uw implementatie voor hybride databeveiliging testen Controleer of belangrijke aanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging. |
4 | Gezondheid van hybride databeveiliging controleren Controleer de status en stel e-mailmeldingen in voor alarmen. |
5 | |
6 | Voltooi de onderzoeksfase met een van de volgende acties: |
Proefperiode activeren
Voordat u begint
Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup
groepsobject voor synchronisatie met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.
1 | Meld u aan bij https://admin.webex.com en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Servicestatus op Proefperiode starten. De servicestatus verandert in de proefmodus.
|
4 | Klik op Gebruikers toevoegen en voer het e-mailadres van een of meer gebruikers in om uw knooppunten voor hybride databeveiliging te gebruiken voor codering- en indexeringsservices. (Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory om de testgroep te beheren, |
Uw implementatie voor hybride databeveiliging testen
Voordat u begint
Stel uw implementatie voor hybride databeveiliging in.
Activeer de proefperiode en voeg verschillende proefgebruikers toe.
Zorg ervoor dat u toegang hebt tot de syslog om te controleren of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.
1 | Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilootgebruikers en maak vervolgens een ruimte en nodig ten minste één pilootgebruiker en één niet-pilootgebruiker uit.
| ||
2 | Verzend berichten naar de nieuwe ruimte. | ||
3 | Controleer de syslog-uitvoer om te controleren of de sleutelaanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging. |
Gezondheid van hybride databeveiliging controleren
1 | Selecteer in Control HubServices in het menu links op het scherm. |
2 | Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellingen. De pagina Instellingen voor hybride databeveiliging wordt weergegeven.
|
3 | Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen gescheiden door komma's en druk op Enter. |
Gebruikers toevoegen aan of verwijderen uit uw proefperiode
Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker om sleutels en sleutels te maken vanuit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die is opgeslagen op uw KMS, zal de cloud-KMS deze namens de gebruiker ophalen.
Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep te beheren, HdsTrialGroup
; u kunt de groepsleden weergeven in Control Hub, maar ze niet toevoegen of verwijderen.
1 | Meld u aan bij Control Hub en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Proefmodus van het gebied Servicestatus op Gebruikers toevoegen of klik op weergeven en bewerken om gebruikers uit de proefperiode te verwijderen. |
4 | Voer het e-mailadres in van een of meer gebruikers die u wilt toevoegen of klik op de X met een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan . |
Overstappen van proefperiode naar productie
1 | Meld u aan bij Control Hub en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Servicestatus op Verplaatsen naar productie. |
4 | Bevestig dat u al uw gebruikers naar de productie wilt verplaatsen. |
Uw proefperiode beëindigen zonder over te stappen naar productie
1 | Meld u aan bij Control Hub en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Deactiveren op Deactiveren. |
4 | Bevestig dat u de service wilt deactiveren en beëindig de proefperiode. |
HDS-implementatie beheren
Gebruik de taken die hier worden beschreven om uw implementatie voor hybride databeveiliging te beheren.
Upgradeschema voor cluster instellen
De upgradeplanning instellen:
1 | Meld u aan Control Hub. |
2 | Klik op de pagina Overzicht onder Hybride services op Hybride databeveiliging. |
3 | Selecteer het cluster op de pagina Resources voor hybride databeveiliging. |
4 | Selecteer in het deelvenster Overzicht aan de rechterkant onder Clusterinstellingen de clusternaam. |
5 | Selecteer op de pagina Instellingen onder Upgraden de tijd en tijdzone voor het upgradeschema. Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen naar de volgende dag door op Uitstellen te klikken. |
De knooppuntconfiguratie wijzigen
x.509-certificaten wijzigen vanwege verlopen of andere redenen.
We ondersteunen het wijzigen van de CN- domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om het cluster te registreren.
Database-instellingen bijwerken om te wijzigen in een replica van de PostgreSQL- of Microsoft SQL Server-database.
We bieden geen ondersteuning voor het migreren van gegevens van PostgreSQL naar Microsoft SQL Server, of andersom. Als u de databaseomgeving wilt wijzigen, start u een nieuwe implementatie van Hybrid Data Security.
Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.
Om veiligheidsredenen gebruikt hybride databeveiliging serviceaccountwachtwoorden die elke 9 maanden worden gewijzigd. De HDS-setuptool genereert deze wachtwoorden en u implementeert ze in uw HDS-knooppunten als onderdeel van het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een 'kennisgeving van het verlopen van uw wachtwoord' van het Webex-team, waarin u wordt gevraagd het wachtwoord van uw machineaccount opnieuw in te stellen. (De e-mail bevat de tekst 'Gebruik de computeraccount- API om het wachtwoord bij te werken.') Als uw wachtwoorden nog niet zijn verlopen, biedt het hulpprogramma u twee opties:
Zachte reset —De oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO -bestand op de knooppunten geleidelijk te vervangen.
Harde reset —De oude wachtwoorden werken onmiddellijk niet meer.
Als uw wachtwoorden verlopen zonder een reset, heeft dit gevolgen voor uw HDS-service, waardoor een onmiddellijke harde reset en vervanging van het ISO -bestand op alle knooppunten nodig is.
Gebruik deze procedure om een nieuw ISO -configuratiebestand te genereren en dit toe te passen op uw cluster.
Voordat u begint
De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.
Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen bij het weergeven van de Docker-container in 1.e. Deze tabel geeft enkele mogelijke omgevingsvariabelen:
Beschrijving
Variabele
HTTP-proxy zonder verificatie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy zonder verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy met verificatie
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy met verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel die de PostgreSQL- of Microsoft SQL Server-database versleutelt. U hebt de ISO nodig wanneer u configuratiewijzigingen aanbrengt, inclusief databasereferenties, certificaatupdates of wijzigingen in het autorisatiebeleid.
1 | Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt. |
2 | Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor het -knooppunt en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies. |
3 | Koppel het ISO -bestand voor bestaande HDS-knooppunten waarop het oudere configuratiebestand wordt uitgevoerd. Voer de volgende procedure uit op elk knooppunt en werk elk knooppunt bij voordat u het volgende knooppunt uitschakelt: |
4 | Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen. |
Geblokkeerde externe DNS-resolutiemodus uitschakelen
Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. Als de DNS-server van het knooppunt geen openbare DNS-namen kan oplossen, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie.
Als uw knooppunten openbare DNS-namen kunnen oplossen via interne DNS-servers, kunt u deze modus uitschakelen door de proxyverbindingstest op elk knooppunt opnieuw uit te voeren.
Voordat u begint
1 | Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/instellingen, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden. |
2 | Ga naar Overzicht (de standaardpagina). Indien ingeschakeld, Geblokkeerde externe DNS omzetting is ingesteld op Ja . |
3 | Ga naar de pagina Vertrouwensarchief & Proxy. |
4 | Klik op Proxyverbinding controleren. Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken en blijft deze modus actief. Anders moet de geblokkeerde externe DNS-resolutie worden ingesteld op nee nadat u het knooppunt opnieuw hebt opgestart en teruggaat naar de pagina Overzicht. |
De volgende stappen
Een knooppunt verwijderen
1 | Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en de virtuele machine uit te schakelen. |
2 | Verwijder het knooppunt: |
3 | Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.) Als u de VM niet verwijdert, moet u het ISO-configuratiebestand loskoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken om toegang te krijgen tot uw beveiligingsgegevens. |
Noodherstel met behulp van het stand-bydatacenter
De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt voor het coderen van berichten en andere inhoud die in de Webex-cloud is opgeslagen. Voor elke gebruiker binnen de organisatie die is toegewezen aan hybride databeveiliging, worden nieuwe aanvragen voor het maken van sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de sleutels die zijn gemaakt aan gebruikers die bevoegd zijn om ze op te halen, bijvoorbeeld leden van een gespreksruimte.
Omdat het cluster de kritieke functie van het leveren van deze sleutels vervult, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden behouden. Verlies van de database met hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van inhoud van de klant. De volgende praktijken zijn verplicht om een dergelijk verlies te voorkomen:
Als door een calamiteit de HDS-implementatie in het primaire datacenter niet meer beschikbaar is, volgt u deze procedure om handmatig te failover te gaan naar het stand-bydatacenter.
1 | Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts. | ||
2 | Klik na het configureren van de Syslogd-server op Geavanceerde instellingen | ||
3 | Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe of verwijder de
| ||
4 | Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op. | ||
5 | Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||
6 | Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.. | ||
7 | Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.
| ||
8 | Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn. | ||
9 | Herhaal het proces voor elk knooppunt in het stand-bydatacenter.
|
De volgende stappen
(Optioneel) ISO loskoppelen na HDS-configuratie
De standaard HDS-configuratie wordt uitgevoerd met de ISO gemonteerd. Maar sommige klanten geven er de voorkeur aan ISO-bestanden niet continu gemonteerd achter te laten. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.
U gebruikt de ISO-bestanden nog steeds om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de installatietool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra al uw knooppunten de configuratiewijzigingen hebben overgenomen, kunt u de ISO opnieuw loskoppelen met deze procedure.
Voordat u begint
Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.
1 | Sluit een van uw HDS-knooppunten af. |
2 | Selecteer het HDS-knooppunt in het vCenter-serverapparaat. |
3 | Kies ISO-gegevensopslagbestand uitschakelen. en |
4 | Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 20 minuten geen alarmen zijn. |
5 | Herhaal dit om de beurt voor elk HDS-knooppunt. |
Waarschuwingen en problemen weergeven
Een implementatie voor hybride databeveiliging wordt als onbeschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als het cluster zo traag werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:
Nieuwe ruimten kunnen niet worden gemaakt (kan geen nieuwe sleutels maken)
Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:
Nieuwe gebruikers toegevoegd aan een ruimte (kan geen toetsen ophalen)
Bestaande gebruikers in een ruimte met een nieuwe client (kan geen sleutels ophalen)
Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben
Het is belangrijk dat u uw cluster voor hybride databeveiliging goed bewaakt en alle waarschuwingen onmiddellijk aanpakt om onderbrekingen van de service te voorkomen.
Waarschuwingen
Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen aan de organisatiebeheerder weer en worden e-mails naar het geconfigureerde e-mailadres verzonden. De waarschuwingen behandelen veel voorkomende scenario's.
Alarm | Actie |
---|---|
Toegang tot lokale database mislukt. |
Controleer op databasefouten of problemen met het lokale netwerk. |
Lokale databaseverbinding mislukt. |
Controleer of de databaseserver beschikbaar is en of de juiste serviceaccountgegevens zijn gebruikt in de knooppuntconfiguratie. |
Toegang tot cloudservice mislukt. |
Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Externe verbindingsvereisten. |
Cloudserviceregistratie vernieuwen. |
Registratie bij cloudservices is geschrapt. De registratie wordt vernieuwd. |
Registratie van cloudservice is verbroken. |
Registratie voor cloudservices is beëindigd. De service wordt afgesloten. |
Service nog niet geactiveerd. |
Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie. |
Het geconfigureerde domein komt niet overeen met het servercertificaat. |
Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein. De meest waarschijnlijke oorzaak is dat de CN van het certificaat onlangs is gewijzigd en nu verschilt van de CN die tijdens de eerste installatie is gebruikt. |
Kan niet verifiëren bij cloudservices. |
Controleer of de gegevens van het serviceaccount correct zijn en mogelijk verlopen. |
Kan lokaal keystore-bestand niet openen. |
Controleer op integriteit en nauwkeurigheid van het wachtwoord in het lokale keystore-bestand. |
Lokaal servercertificaat is ongeldig. |
Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie. |
Kan statistieken niet plaatsen. |
Controleer de toegang van het lokale netwerk tot externe cloudservices. |
/media/configdrive/hds directory bestaat niet. |
Controleer de ISO-montageconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om opnieuw op te starten en of het met succes wordt geïnstalleerd. |
Problemen met hybride databeveiliging oplossen
1 | Controleer Control Hub op waarschuwingen en los alle items op die u daar vindt. |
2 | Controleer de uitvoer van de syslog-server voor activiteit vanuit de implementatie voor hybride databeveiliging. |
3 | Neem contact op met de ondersteuning van Cisco. |
Bekende problemen voor hybride databeveiliging
Als u uw cluster voor hybride databeveiliging afsluit (door het te verwijderen in Control Hub of door alle knooppunten af te sluiten), uw configuratie-ISO-bestand verliest of toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst met personen die zijn gemaakt met toetsen van uw KMS. Dit geldt zowel voor proefperioden als voor productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en dringen er bij u op aan om uw HDS-services niet af te sluiten zodra ze actieve gebruikersaccounts afhandelen.
Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een periode (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefperiode voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken tot er een time-out optreedt. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact opneemt voor coderingssleutels.
Hetzelfde gedrag treedt op wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle niet-proefgebruikers met bestaande ECDH-verbindingen met de vorige gegevensbeveiligingsservices blijven deze services gebruiken totdat er opnieuw wordt onderhandeld over de ECDH-verbinding (via time-out of door afmelden en weer aanmelden).
OpenSSL gebruiken om een PKCS12-bestand te genereren
Voordat u begint
OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS Setup Tool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten niet op de een of andere manier.
Als u ervoor kiest om OpenSSL te gebruiken, bieden we deze procedure aan als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.
Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.
Maak een privésleutel aan.
Start deze procedure wanneer u het servercertificaat ontvangt van uw certificeringsinstantie (CA).
1 | Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als |
2 | Geef het certificaat weer als tekst en controleer de details.
|
3 | Gebruik een teksteditor om een certificaatbundelbestand met de naam
|
4 | Maak het .p12-bestand met de vriendelijke naam
|
5 | Controleer de gegevens van het servercertificaat. |
De volgende stappen
Ga terug naar Vereisten voor hybride databeveiliging voltooien. U gebruikt de hdsnode.p12
bestand en het wachtwoord dat u ervoor hebt ingesteld, in Create a Configuration ISO for the HDS Hosts.
U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt. |
Verkeer tussen de HDS-knooppunten en de cloud
Verkeer voor verzameling uitgaande statistieken
De knooppunten voor hybride databeveiliging sturen bepaalde statistieken naar de Webex-cloud. Dit zijn onder andere systeemstatistieken voor de maximale heap, gebruikte heap, CPU-belasting en draadtelling; statistieken over synchrone en asynchrone threads; statistieken over waarschuwingen met een drempelwaarde voor coderingsverbindingen, latentie of de lengte van een aanvraagwachtrij; statistieken over de gegevensopslag; en coderingsverbindingsstatistieken. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (gescheiden van het verzoekkanaal).
Inkomend verkeer
De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer vanuit de Webex-cloud:
Coderingsverzoeken van clients die door de coderingsservice worden gerouteerd
Upgrades naar de knooppuntsoftware
Squid-proxy's configureren voor hybride databeveiliging
Websocket kan geen verbinding maken via de Squid Proxy
Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de instelling van websocket ( wss:
) verbindingen die Hybride databeveiliging vereist. Deze secties bieden richtlijnen voor het configureren van verschillende versies van Squid om te negeren wss:
verkeer voor de goede werking van de diensten.
Inktvis 4 en 5
Voeg de on_unsupported_protocol
richtlijn tot squid.conf
:
on_unsupported_protocol tunnel all
Pijlinktvis 3.5.27
We hebben hybride databeveiliging met succes getest met de volgende regels toegevoegd aan squid.conf
. Deze regels kunnen worden gewijzigd bij het ontwikkelen van functies en het bijwerken van de Webex-cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nieuwe en gewijzigde informatie
Datum | Aangebrachte wijzigingen | ||
---|---|---|---|
20 oktober 2023 |
| ||
07 augustus 2023 |
| ||
23 mei 2023 |
| ||
06 december 2022 |
| ||
23 november 2022 |
| ||
13 oktober 2021 | Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker Desktop. | ||
24 juni 2021 | U kunt het bestand met de privésleutel en de CSR opnieuw gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie. | ||
30 april 2021 | De VM-vereiste voor lokale harde schijfruimte is gewijzigd in 30 GB. Zie Vereisten voor virtuele host voor meer informatie. | ||
24 februari 2021 | De HDS-installatietool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO maken voor de HDS-hosts voor meer informatie. | ||
2 februari 2021 | HDS kan nu worden uitgevoerd zonder een gemonteerd ISO-bestand. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie. | ||
11 januari 2021 | Informatie toegevoegd over het hulpprogramma HDS-instellingen en proxy's om een configuratie-ISO voor de HDS-hosts te maken. | ||
13 oktober 2020 | Bijgewerkte Installatiebestanden downloaden. | ||
8 oktober 2020 | Configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt. | ||
14 augustus 2020 | De configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces. | ||
5 augustus 2020 | Bijgewerkte Test uw implementatie voor hybride databeveiliging voor wijzigingen in logboekberichten. De vereisten voor de virtuele host zijn bijgewerkt om het maximale aantal hosts te verwijderen. | ||
16 juni 2020 | Bijgewerkt Een knooppunt verwijderen voor wijzigingen in de gebruikersinterface van Control Hub. | ||
4 juni 2020 | De ISO voor configuratie maken voor de HDS-hosts is bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk hebt ingesteld. | ||
29 mei 2020 | Bijgewerkt: maak een configuratie-ISO voor de HDS-hosts om aan te geven dat u ook TLS kunt gebruiken met SQL Server-databases, gebruikersgebruikerswijzigingen en andere verduidelijkingen. | ||
5 mei 2020 | De vereisten voor de virtuele host zijn bijgewerkt om de nieuwe vereisten voor ESXi 6.5 weer te geven. | ||
21 april 2020 | Bijgewerkte Externe connectiviteitsvereisten met nieuwe Americas CI-hosts. | ||
1 april 2020 | Bijgewerkte Externe connectiviteitsvereisten met informatie over regionale CI-hosts. | ||
20 februari 2020 | Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met informatie over het nieuwe optionele scherm Geavanceerde instellingen in de HDS-installatietool. | ||
4 februari 2020 | Proxyserververeisten bijgewerkt. | ||
16 december 2019 | De vereiste voor geblokkeerde externe DNS-resolutiemodus is verduidelijkt om te werken in de vereisten voor de proxyserver. | ||
19 november 2019 | Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende gedeelten: | ||
8 november 2019 | U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van erna. De volgende gedeelten zijn dienovereenkomstig bijgewerkt:
| ||
6 september 2019 | Standaard SQL-server toegevoegd aan vereisten voor databaseserver. | ||
29 augustus 2019 | Bijlage Squid-proxy's configureren voor hybride databeveiliging toegevoegd met richtlijnen voor het configureren van squid-proxy's om websocketverkeer te negeren voor een goede werking. | ||
20 augustus 2019 | Er zijn gedeelten toegevoegd en bijgewerkt voor proxyondersteuning voor communicatie van knooppunten voor hybride databeveiliging naar de Webex-cloud. Zie het Help-artikel Proxy-ondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie. | ||
13 juni 2019 | Bijgewerkte Trial to Production Task Flow met een herinnering om de HdsTrialGroup groepsobject voordat een proefperiode wordt gestart als uw organisatie adreslijstsynchronisatie gebruikt. | ||
6 maart 2019 |
| ||
28 februari 2019 |
| ||
26 februari 2019 |
| ||
24 januari 2019 |
| ||
5 november 2018 |
| ||
19 oktober 2018 |
| ||
31 juli 2018 |
| ||
21 mei 2018 | Gewijzigde terminologie om de rebranding van Cisco Spark weer te geven:
| ||
11 april 2018 |
| ||
22 februari 2018 |
| ||
15 februari 2018 |
| ||
18 januari 2018 |
| ||
2 november 2017 |
| ||
18 augustus 2017 | Voor het eerst gepubliceerd |
Overzicht van hybride databeveiliging
Vanaf dag één is gegevensbeveiliging de belangrijkste focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end inhoudsversleuteling, mogelijk gemaakt door Webex -app-clients die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografische sleutels die clients gebruiken om berichten en bestanden dynamisch te versleutelen en ontsleutelen.
Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride gegevensbeveiliging verplaatst het KMS en andere beveiligingsgerelateerde functies naar het bedrijfsgegevens , zodat niemand anders dan u de sleutels heeft tot uw versleutelde inhoud.
Architectuur beveiligingsgebied
De Webex-cloudarchitectuur scheidt verschillende soorten service in afzonderlijke realms of vertrouwensdomeinen, zoals hieronder wordt weergegeven.
Laten we eerst eens kijken naar deze zuivere cloudcase, waarin Cisco alle functies in zijn clouddomeinen aanbiedt om meer inzicht te krijgen in hybride databeveiliging. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks kunnen worden gecorreleerd met hun persoonlijke informatie zoals e-mailadres, is logisch en fysiek gescheiden van de beveiligingsrealm in datacenter B. Beide zijn op hun beurt gescheiden van de realm waar versleutelde inhoud uiteindelijk wordt opgeslagen, in datacenter C.
In dit diagram is de client de Webex-app die wordt uitgevoerd op de laptop van een gebruiker en is deze geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:
De client maakt een veilige verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel om het bericht te versleutelen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.
Het bericht wordt gecodeerd voordat het de client verlaat. De klant stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.
Het gecodeerde bericht wordt verzonden naar de nalevingsservice voor nalevingscontroles.
Het gecodeerde bericht wordt opgeslagen in de opslagrealm.
Wanneer u hybride databeveiliging implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de realms van Cisco.
Samenwerken met andere organisaties
Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, routeert uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS te krijgen en stuurt de sleutel vervolgens terug naar uw gebruiker op het oorspronkelijke kanaal.
De KMS-service die wordt uitgevoerd in organisatie A valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw implementatie voor hybride databeveiliging.
Verwachtingen voor het implementeren van hybride databeveiliging
Een implementatie van hybride databeveiliging vereist een aanzienlijke klantbetrokkenheid en een bewustzijn van de risico's van het bezit van coderingssleutels.
Als u hybride databeveiliging wilt implementeren, moet u het volgende opgeven:
Een beveiligd datacenter in een land dat een ondersteunde locatie is voor de Cisco Webex Teams-plannen.
De apparatuur, software en netwerktoegang die worden beschreven in Prepare Your Environment.
Volledig verlies van de configuratie-ISO die u maakt voor hybride databeveiliging of de database die u levert, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers inhoud van de ruimte en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar alleen nieuwe inhoud is zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:
De back-up en het herstel van de database en de configuratie-ISO beheren.
Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing in de databaseschijf of een ramp met het datacenter.
Er is geen mechanisme om sleutels na een HDS-implementatie terug naar de cloud te verplaatsen. |
Installatieproces op hoog niveau
Dit document behandelt het instellen en beheren van een implementatie voor hybride databeveiliging:
Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset gebruikers in de proefmodus en, zodra uw tests zijn voltooid, het verplaatsen naar productie. Hiermee wordt de hele organisatie geconverteerd om uw cluster voor hybride databeveiliging te gebruiken voor beveiligingsfuncties.
De installatie-, proef- en productiefasen worden in de volgende drie hoofdstukken in detail besproken.
Uw implementatie voor hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch voortdurende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig ondersteuning van Cisco inschakelen. U kunt meldingen op het scherm gebruiken en op e-mail gebaseerde waarschuwingen instellen in Control Hub.
Algemene waarschuwingen, stappen voor probleemoplossing en bekende problemen begrijpen: als u problemen ondervindt bij het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.
Implementatiemodel voor hybride databeveiliging
In uw bedrijfsdatacenter implementeert u hybride databeveiliging als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.
Tijdens het installatieproces bieden we u het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt monteert. Het cluster Hybride databeveiliging gebruikt de door u geleverde Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de details van de Syslogd- en databaseverbinding in de HDS-installatietool.)
Het minimumaantal knooppunten dat u in een cluster kunt hebben is twee. We raden ten minste drie aan en u kunt er maximaal vijf hebben. Als u meerdere knooppunten hebt, wordt de service niet onderbroken tijdens een software-upgrade of andere onderhoudsactiviteit op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)
Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en logboekactiviteit op dezelfde syslog-server. De knooppunten zelf zijn stateloos, en behandelen belangrijke verzoeken in round-robin mode, zoals geregisseerd door de cloud.
Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt buiten gebruik wilt stellen, kunt u de registratie ongedaan maken en later opnieuw registreren, indien nodig.
We ondersteunen slechts één cluster per organisatie.
Proefmodus voor hybride databeveiliging
Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u dit eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.
Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de pilootgebruikers en alle gebruikers met wie ze tijdens de proefperiode interactie hebben gehad door nieuwe ruimten te maken, de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.
Als u ervan overtuigd bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilootgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, bijvoorbeeld om noodherstel uit te voeren, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilootgebruikers voor de nieuwe proefperiode instellen voordat u teruggaat naar de productiemodus. Of gebruikers op dit moment toegang tot gegevens behouden, hangt af van het feit of u back-ups van de sleutelgegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster hebt onderhouden.
Standby-datacenter voor noodherstel
Tijdens de implementatie stelt u een beveiligd stand-bydatacenter in. In het geval van een ramp met een datacenter kunt u uw implementatie handmatig overzetten naar het stand-bydatacenter.
De databases van de actieve en stand-by datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is om de failover uit te voeren, tot een minimum wordt beperkt. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten zijn geregistreerd bij de organisatie, maar geen verkeer afhandelen. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van de HDS-software.
De actieve knooppunten voor hybride databeveiliging moeten altijd in hetzelfde datacenter zijn als de actieve databaseserver. |
Standby-datacenter instellen voor noodherstel
Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:
Voordat u begint
Het stand-bydatacenter moet de productieomgeving van VM's en een back-up PostgreSQL- of Microsoft SQL Server-database weerspiegelen. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. (Zie Standby Data Center for Disaster Recovery voor een overzicht van dit failovermodel.)
Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database met actieve en passieve clusterknooppunten.
1 | Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.
| ||
2 | Klik na het configureren van de Syslogd-server op Geavanceerde instellingen | ||
3 | Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar wordt er geen verkeer afgehandeld.
| ||
4 | Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op. | ||
5 | Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||
6 | Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.. | ||
7 | Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.
| ||
8 | Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn. | ||
9 | Herhaal het proces voor elk knooppunt in het stand-bydatacenter.
|
De volgende stappen
Na het configureren passiveMode
in het ISO-bestand en opslaan, kunt u een andere kopie van het ISO-bestand maken zonder de passiveMode
configureren en opslaan op een veilige locatie. Deze kopie van het ISO-bestand zonder passiveMode
geconfigureerd kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met behulp van het stand-bydatacenter voor de gedetailleerde failoverprocedure.
Proxyondersteuning
Hybride databeveiliging ondersteunt expliciete, transparante en niet-inspecterende proxy's. U kunt deze proxy's aan uw implementatie koppelen zodat u het verkeer van de onderneming naar de cloud kunt beveiligen en bewaken. U kunt een platformbeheerinterface op de knooppunten gebruiken voor certificaatbeheer en om de algehele verbindingsstatus te controleren nadat u de proxy op de knooppunten hebt ingesteld.
De knooppunten voor hybride databeveiliging ondersteunen de volgende proxyopties:
Geen proxy: de standaardinstelling als u de HDS-knooppuntconfiguratie Vertrouwensarchief en proxy niet gebruikt om een proxy te integreren. Er is geen certificaatupdate vereist.
Transparante niet-inspecterende proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaatupdate vereist.
Transparante tunneling of inspectie van proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP- of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).
Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welk proxyserver- en verificatieschema u moet gebruiken. Als u een expliciete proxy wilt configureren, moet u de volgende informatie op elk knooppunt invoeren:
Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.
Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.
Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:
HTTP: geeft alle verzoeken weer die de client verzendt en beheert deze.
HTTPS: biedt een kanaal naar de server. De client ontvangt het servercertificaat en valideert het.
Verificatietype: kies uit de volgende verificatietypen:
Geen: er is geen verdere verificatie vereist.
Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.
Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.
Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.
Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.
Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.
Alleen beschikbaar als u HTTPS selecteert als proxyprotocol.
Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.
Voorbeeld van knooppunten voor hybride databeveiliging en proxy
In dit diagram ziet u een voorbeeldverbinding tussen hybride databeveiliging, netwerk en een proxy. Voor de opties voor transparante inspectie en HTTPS expliciete inspectie proxy moet hetzelfde hoofdcertificaat worden geïnstalleerd op de proxy en op de knooppunten voor hybride databeveiliging.
Geblokkeerde externe DNS-resolutiemodus (expliciete proxyconfiguraties)
Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. In implementaties met expliciete proxyconfiguraties die geen externe DNS-resolutie voor interne clients toestaan, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie als het knooppunt de DNS-servers niet kan opvragen. In deze modus kunnen knooppuntregistratie en andere proxyverbindingstests worden voortgezet.
Vereisten voor hybride databeveiliging
Vereisten voor Cisco Webex-licenties
Hybride databeveiliging implementeren:
U moet beschikken over het Pro-pakket voor Cisco Webex Control Hub. (Zie https://www.cisco.com/go/pro-pack.)
Vereisten voor Docker Desktop
Voordat u uw HDS-knooppunten installeert, hebt u Docker Desktop nodig om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie heeft mogelijk een betaald abonnement voor Docker Desktop nodig. Voor meer informatie raadpleegt u het Docker-blogbericht ' Docker werkt onze productabonnementen bij en verlengt deze ".
Vereisten voor X.509-certificaten
De certificaatketen moet aan de volgende vereisten voldoen:
Vereiste | Details |
---|---|
| Standaard vertrouwen we de CA’s in de Mozilla lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs. |
| De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die uw organisatie weergeeft, bijvoorbeeld: De algemene naam mag geen * (jokerteken) bevatten. De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren bij clients van de Webex-app. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden. Zodra u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat kan worden toegepast op zowel de proefperiode- als productie-implementaties. |
| De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties. |
| U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen. U moet het wachtwoord invoeren wanneer u de HDS-installatietool uitvoert. |
De KMS-software dwingt sleutelgebruik of uitgebreide beperkingen voor sleutelgebruik niet af. Sommige certificeringsinstanties vereisen dat uitgebreide belangrijke gebruiksbeperkingen worden toegepast op elk certificaat, zoals serververificatie. U mag de serververificatie of andere instellingen gebruiken.
Vereisten voor virtuele host
De virtuele hosts die u instelt als knooppunten voor hybride databeveiliging in uw cluster, hebben de volgende vereisten:
Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich in hetzelfde beveiligde datacenter bevinden
VMware ESXi 6.5 (of hoger) geïnstalleerd en actief.
U moet upgraden als u een eerdere versie van ESXi hebt.
Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server
Vereisten voor databaseserver
Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. Wanneer de HDS-toepassingen zijn geïnstalleerd, maakt u het databaseschema. |
Er zijn twee opties voor databaseserver. De vereisten voor elk zijn als volgt:
PostgreSQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen) | Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen) |
De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:
PostgreSQL | Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 | SQL JDBC-stuurprogramma van SQL Server 4.6 Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover Cluster Instances en Always On availability groups). |
Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server
Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:
De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.
Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees-/schrijftoegang hebben tot de database.
De DNS-servers die u aan HDS-knooppunten levert, moeten uw Key Distribution Center (KDC) kunnen oplossen.
U kunt de HDS-database-instantie op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een servicenaam registreren voor Kerberos-verbindingen.
De HDS-installatietool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens van uw ISO-configuratie om de SPN te construeren wanneer ze toegang aanvragen met Kerberos-verificatie.
Externe connectiviteitsvereisten
Configureer uw firewall om de volgende verbinding voor de HDS-toepassingen toe te staan:
App | Protocol | Poort | Richting van app | Bestemming |
---|---|---|---|---|
Knooppunten voor hybride databeveiliging | TCP | 443 | Uitgaande HTTPS en WSS |
|
Hulpprogramma voor HDS-instellingen | TCP | 443 | Uitgaande HTTPS |
|
De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die inkomend zijn naar de knooppunten voor hybride databeveiliging, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients voor beheerdoeleinden toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22. |
De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:
Regio | Host-URL's van Common Identity |
---|---|
Amerika |
|
Europese Unie |
|
Canada |
|
Vereisten voor proxyserver
We ondersteunen officieel de volgende proxyoplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride databeveiliging.
Transparante proxy: Cisco Web Security Appliance (WSA).
Expliciete proxy: Squid.
Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de oprichting van websocket verstoren (wss:) verbindingen. Zie Squid-proxy's configureren voor hybride databeveiliging voor meer informatie over dit probleem.
We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:
Geen verificatie met HTTP of HTTPS
Basisverificatie met HTTP of HTTPS
Digestverificatie met alleen HTTPS
Voor een transparante inspecterende proxy of een expliciete HTTPS-proxy moet u een kopie hebben van het hoofdcertificaat van de proxy. De implementatie-instructies in deze handleiding vertellen u hoe u de kopie kunt uploaden naar de vertrouwensarchieven van de knooppunten voor hybride databeveiliging.
Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 te dwingen via de proxy te routeren.
Proxy's die webverkeer inspecteren, kunnen de verbindingen met de websocket verstoren. Indien dit probleem zich voordoet, verkeer overslaan (niet inspecteren) naar
wbx2.com
enciscospark.com
zal het probleem oplossen.
Voldoen aan de vereisten voor hybride databeveiliging
1 | Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en ontvang de referenties van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces. | ||
2 | Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld | ||
3 | Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt ten minste twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter zijn geplaatst en voldoen aan de vereisten in Vereisten voor virtuele host. | ||
4 | Bereid de databaseserver voor die zal fungeren als de belangrijkste gegevensopslag voor het cluster, overeenkomstig de vereisten voor de databaseserver. De databaseserver moet samen met de virtuele hosts in het beveiligde datacenter worden geplaatst. | ||
5 | Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. | ||
6 | Stel een Syslog-host in om logboeken te verzamelen van de knooppunten in het cluster. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514). | ||
7 | Maak een veilig back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.
Clients van de Webex-app brengen hun sleutels in de cache, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen niet te voorkomen zijn, kunnen ze worden hersteld. Volledig verlies (geen back-ups beschikbaar) van de database of het ISO-configuratiebestand leidt echter tot niet-herstelbare klantgegevens. Van de beheerders van de knooppunten voor hybride databeveiliging wordt verwacht dat ze regelmatig back-ups van de database en het configuratie-ISO-bestand onderhouden, en dat ze bereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als er een catastrofale storing optreedt. | ||
8 | Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw hybride databeveiligingsknooppunten mogelijk maakt, zoals beschreven in Externe connectiviteitsvereisten. | ||
9 | Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft tot het besturingssysteem op http://127.0.0.1:8080. U gebruikt het Docker-exemplaar om de HDS-installatietool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratie-informatie op voor alle knooppunten voor hybride databeveiliging. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker Desktop voor meer informatie. Om de HDS-setuptool te installeren en uit te voeren, moet de lokale machine de connectiviteit hebben die wordt beschreven in Externe connectiviteitsvereisten. | ||
10 | Als u een proxy integreert met hybride databeveiliging, moet u ervoor zorgen dat deze voldoet aan de vereisten voor de proxyserver. | ||
11 | Als uw organisatie adreslijstsynchronisatie gebruikt, maakt u een groep in Active Directory met de naam
|
Taakstroom implementatie hybride databeveiliging
Voordat u begint
1 | Installatiebestanden downloaden Download het OVA-bestand naar uw lokale computer voor later gebruik. | ||
2 | Een configuratie-ISO maken voor de HDS-hosts Gebruik de HDS-installatietool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging. | ||
3 |
Maak een virtuele machine vanuit het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.
| ||
4 | De VM voor hybride databeveiliging instellen Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd ten tijde van de OVA-implementatie. | ||
5 | De HDS-configuratie-ISO uploaden en koppelen Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-installatietool. | ||
6 | Het HDS-knooppunt configureren voor proxyintegratie Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u indien nodig het proxycertificaat toe aan het vertrouwensarchief. | ||
7 | Het eerste knooppunt in het cluster registreren Registreer de VM bij de Cisco Webex-cloud als een knooppunt voor hybride databeveiliging. | ||
8 | Meer knooppunten maken en registreren Voltooi de clusterinstelling. | ||
9 | Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk) Totdat u een proefperiode start, genereren uw knooppunten een alarm dat aangeeft dat uw service nog niet is geactiveerd. |
Installatiebestanden downloaden
1 | Meld u aan bij https://admin.webex.com en klik vervolgens op Services. | ||||
2 | Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik vervolgens op Instellen. Als de kaart is uitgeschakeld of u deze niet ziet, neemt u contact op met uw accountteam of uw partnerorganisatie. Geef uw accountnummer en vraag of u uw organisatie wilt inschakelen voor hybride databeveiliging. Als u het accountnummer wilt vinden, klikt u op het tandwiel rechtsboven naast de naam van uw organisatie.
| ||||
3 | Selecteer Nee om aan te geven dat u het knooppunt nog niet hebt ingesteld en klik vervolgens op Volgende. Het OVA-bestand begint automatisch te downloaden. Sla het bestand op een locatie op uw computer op.
| ||||
4 | U kunt ook op Implementatiehandleiding openen klikken om te controleren of er een latere versie van deze handleiding beschikbaar is. |
Een configuratie-ISO maken voor de HDS-hosts
Het installatieproces voor hybride databeveiliging maakt een ISO-bestand. Vervolgens gebruikt u de ISO om uw host voor hybride databeveiliging te configureren.
Voordat u begint
De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.
Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5 opent. Deze tabel geeft enkele mogelijke omgevingsvariabelen:
Beschrijving
Variabele
HTTP-proxy zonder verificatie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy zonder verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy met verificatie
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy met verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de nieuwste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals:
Aanmeldgegevens database
Certificaatupdates
Wijzigingen in het autorisatiebeleid
Als u databaseverbindingen wilt versleutelen, stelt u uw PostgreSQL- of SQL Server-implementatie voor TLS in.
1 | Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in: In normale omgevingen:
In FedRAMP-omgevingen:
| ||||||||||||
2 | Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:
| ||||||||||||
3 | Voer bij de wachtwoordprompt deze hash in:
| ||||||||||||
4 | Download de nieuwste stabiele installatiekopie voor uw omgeving: In normale omgevingen:
In FedRAMP-omgevingen:
| ||||||||||||
5 | Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:
Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'. | ||||||||||||
6 |
Gebruik een webbrowser om naar de localhost te gaan De tool gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Het hulpprogramma geeft vervolgens de standaard aanmeldingsprompt weer. | ||||||||||||
7 | Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de Control Hub-klantbeheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan. | ||||||||||||
8 | Klik op de overzichtspagina van de installatietool op Aan de slag. | ||||||||||||
9 | Op de pagina ISO Import hebt u de volgende opties:
| ||||||||||||
10 | Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.
| ||||||||||||
11 | Voer het databaseadres en het account voor HDS in om toegang te krijgen tot uw belangrijke gegevensopslag: | ||||||||||||
12 | Selecteer een TLS-databaseverbindingsmodus:
Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-installatietool de TLS-verbinding met de databaseserver. Het hulpprogramma verifieert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, geeft het hulpprogramma een foutmelding waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en wilt doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de HDS-installatietool niet met succes kan worden getest.) | ||||||||||||
13 | Configureer uw Syslogd-server op de pagina Systeemlogboeken: | ||||||||||||
14 | (Optioneel) U kunt de standaardwaarde voor bepaalde parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u wilt wijzigen:
| ||||||||||||
15 | Klik op Doorgaan op het scherm Wachtwoord serviceaccounts opnieuw instellen. Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u wilt deze opnieuw instellen om eerdere ISO-bestanden ongeldig te maken. | ||||||||||||
16 | Klik op ISO-bestand downloaden. Sla het bestand op een gemakkelijk te vinden locatie op. | ||||||||||||
17 | Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||||||||||||
18 | Als u het installatieprogramma wilt afsluiten, typt u |
De volgende stappen
Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten voor herstel te maken of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het herstellen van de sleutels uit uw PostgreSQL- of Microsoft SQL Server-database is niet mogelijk.
We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze kwijtraakt. |
De HDS-host-OVA installeren
1 | Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host. | ||||||
2 | Selecteer File > Deploy OVF Template. | ||||||
3 | Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende. | ||||||
4 | Op de Selecteer een naam en map pagina, voer een in Naam virtuele machine voor het knooppunt (bijvoorbeeld 'HDS_Node_1') kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u vervolgens op Volgende. | ||||||
5 | Op de Een computerbron selecteren pagina, kies de bestemming compute resource en klik vervolgens op Volgende. Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloondetails weergegeven. | ||||||
6 | Controleer de sjabloondetails en klik op Volgende. | ||||||
7 | Als u wordt gevraagd de resourceconfiguratie te kiezen op de Configuratie pagina, klik op 4 CPU en klik vervolgens op Volgende. | ||||||
8 | Op de Selecteer opslag pagina, klik op Volgende om de standaard schijfindeling en het VM-opslagbeleid te accepteren. | ||||||
9 | Op de Selecteer netwerken-pagina, kies de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden. | ||||||
10 | Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen:
Indien gewenst kunt u de configuratie van de netwerkinstellingen overslaan en de stappen volgen in De hybride databeveiliging VM instellen om de instellingen vanaf de knooppuntconsole te configureren.
| ||||||
11 | Klik met de rechtermuisknop op het knooppunt VM en kies .De software voor hybride databeveiliging is geïnstalleerd als gast op de VM-host. U kunt zich nu aanmelden bij de console en het knooppunt configureren. Tips voor het oplossen van problemen U kunt een vertraging van een paar minuten ervaren voordat de knooppuntcontainers naar boven komen. Er verschijnt een brugfirewallbericht op de console tijdens de eerste keer opstarten, tijdens welke u zich niet kunt aanmelden. |
De VM voor hybride databeveiliging instellen
Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.
1 | Selecteer in de VMware vSphere-client uw knooppunt voor hybride databeveiliging VM en selecteer het tabblad Console. De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldprompt niet wordt weergegeven, drukt u op Enter.
|
2 | Gebruik de volgende standaardaanmelding en het volgende wachtwoord om u aan te melden en de aanmeldgegevens te wijzigen: Aangezien u zich voor de eerste keer aanmeldt bij uw VM, moet u het beheerderswachtwoord wijzigen. |
3 | Als u de netwerkinstellingen al hebt geconfigureerd in Install the HDS Host OVA, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken. |
4 | Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund. |
5 | (Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om aan uw netwerkbeleid te voldoen. U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen. |
6 | Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen van kracht worden. |
De HDS-configuratie-ISO uploaden en koppelen
Voordat u begint
Omdat het ISO-bestand de hoofdsleutel bevat, mag het alleen worden blootgesteld op een 'need to know'-basis, voor toegang door de VM's voor hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen die beheerders toegang hebben tot de gegevensopslag.
1 | Upload het ISO-bestand vanaf uw computer: |
2 | Koppel het ISO-bestand: |
De volgende stappen
Als uw IT-beleid dit vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.
Het HDS-knooppunt configureren voor proxyintegratie
Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride databeveiliging. Als u een transparante inspecterende proxy of een expliciete HTTPS-proxy kiest, kunt u de interface van het knooppunt gebruiken om het hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding controleren vanuit de interface en mogelijke problemen oplossen.
Voordat u begint
Zie Proxyondersteuning voor een overzicht van de ondersteunde proxyopties.
1 | Voer de URL voor het instellen van het HDS-knooppunt in |
2 | Ga naar Trust Store & Proxy en kies een optie:
Volg de volgende stappen voor een transparante inspecterende proxy, een expliciete HTTP-proxy met basisverificatie of een expliciete HTTPS-proxy. |
3 | Klik op Upload a Root Certificate or End Entity Certificate (Een hoofdcertificaat uploaden of een entiteitscertificaat beëindigen) en navigeer vervolgens naar een hoofdcertificaat voor de proxy kiezen. Het certificaat is geüpload maar nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijl van de chevron bij de naam van de certificaatverstrekker voor meer informatie of klik op Verwijderen als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden. |
4 | Klik op Proxyverbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen. Als de verbindingstest mislukt, ziet u een foutbericht met de reden en hoe u het probleem kunt oplossen. Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken. Deze voorwaarde wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de modus Geblokkeerde externe DNS-resolutie. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u Geblokkeerde externe DNS-resolutiemodus uitschakelen. |
5 | Nadat de verbindingstest is verlopen en de expliciete proxy alleen is ingesteld op https, schakelt u de schakelaar in op Alle poort 443/444-https-verzoeken van dit knooppunt routeren via de expliciete proxy. Deze instelling heeft 15 seconden nodig om van kracht te worden. |
6 | Klik op Alle certificaten installeren in de Trust Store (wordt weergegeven voor een expliciete HTTPS-proxy of een transparante inspecterende proxy) of Opnieuw opstarten (wordt weergegeven voor een expliciete HTTP-proxy), lees de prompt en klik vervolgens op Installeren als u klaar bent. Het knooppunt wordt binnen een paar minuten opnieuw opgestart. |
7 | Nadat het knooppunt opnieuw is opgestart, meldt u zich indien nodig opnieuw aan en opent u de pagina Overzicht om de connectiviteitscontroles te controleren en ervoor te zorgen dat ze allemaal groen zijn. Met de proxyverbindingscontrole wordt alleen een subdomein van webex.com getest. Als er verbindingsproblemen zijn, is een algemeen probleem dat sommige van de clouddomeinen die in de installatie-instructies worden vermeld, worden geblokkeerd bij de proxy. |
Het eerste knooppunt in het cluster registreren
Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd om redundantie te bieden.
Voordat u begint
Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.
Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.
1 | Meld u aan bij https://admin.webex.com. |
2 | Selecteer Services in het menu links op het scherm. |
3 | Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellen. De pagina Knooppunt voor hybride databeveiliging registreren wordt weergegeven.
|
4 | Selecteer Ja om aan te geven dat u het knooppunt hebt ingesteld en klaar bent om het te registreren. Klik vervolgens op Volgende. |
5 | Voer in het eerste veld een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen. We raden u aan een cluster een naam te geven op basis van waar de knooppunten van het cluster zich geografisch bevinden. Voorbeelden: "San Francisco" of "New York" of "Dallas" |
6 | Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende. Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein dat u hebt gebruikt in De VM voor hybride databeveiliging instellen. Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex.
|
7 | Klik op Ga naar knooppunt. |
8 | Klik in het waarschuwingsbericht op Doorgaan. Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.
|
9 | Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan. Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
|
10 | Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub. Op de pagina Hybride databeveiliging wordt het nieuwe cluster weergegeven met het knooppunt dat u hebt geregistreerd. Het knooppunt downloadt automatisch de nieuwste software vanuit de cloud.
|
Meer knooppunten maken en registreren
Op dit moment zijn de back-up-VM's die u hebt gemaakt in Voldoen aan de vereisten voor hybride databeveiliging stand-byhosts die alleen worden gebruikt in het geval van noodherstel. Ze zijn tot die tijd niet geregistreerd bij het systeem. Zie Noodherstel met behulp van het stand-bydatacenter voor meer informatie. |
Voordat u begint
Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.
Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.
1 | Maak een nieuwe virtuele machine vanuit de OVA en herhaal de stappen in Installeer de HDS-host-OVA. |
2 | Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De hybride databeveiliging instellen. |
3 | Herhaal op de nieuwe VM de stappen in Upload and Mount the HDS Configuration ISO. |
4 | Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Configureer het HDS-knooppunt voor proxyintegratie indien nodig voor het nieuwe knooppunt. |
5 | Registreer het knooppunt. Uw knooppunt is geregistreerd. Houd er rekening mee dat totdat u een proefperiode start, uw knooppunten een alarm genereren dat aangeeft dat uw service nog niet is geactiveerd.
|
De volgende stappen
Doorstroom proefperiode naar productietaak
Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers toevoegen en deze gaan gebruiken om uw implementatie te testen en te verifiëren ter voorbereiding op de overgang naar productie.
Voordat u begint
1 | Indien van toepassing, synchroniseer de Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de |
2 |
Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd. |
3 | Uw implementatie voor hybride databeveiliging testen Controleer of belangrijke aanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging. |
4 | Gezondheid van hybride databeveiliging controleren Controleer de status en stel e-mailmeldingen in voor alarmen. |
5 | |
6 | Voltooi de onderzoeksfase met een van de volgende acties: |
Proefperiode activeren
Voordat u begint
Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup
groepsobject voor synchronisatie met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.
1 | Meld u aan bij https://admin.webex.com en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Servicestatus op Proefperiode starten. De servicestatus verandert in de proefmodus.
|
4 | Klik op Gebruikers toevoegen en voer het e-mailadres van een of meer gebruikers in om uw knooppunten voor hybride databeveiliging te gebruiken voor codering- en indexeringsservices. (Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory om de testgroep te beheren, |
Uw implementatie voor hybride databeveiliging testen
Voordat u begint
Stel uw implementatie voor hybride databeveiliging in.
Activeer de proefperiode en voeg verschillende proefgebruikers toe.
Zorg ervoor dat u toegang hebt tot de syslog om te controleren of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.
1 | Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilootgebruikers en maak vervolgens een ruimte en nodig ten minste één pilootgebruiker en één niet-pilootgebruiker uit.
| ||
2 | Verzend berichten naar de nieuwe ruimte. | ||
3 | Controleer de syslog-uitvoer om te controleren of de sleutelaanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging. |
Gezondheid van hybride databeveiliging controleren
1 | Selecteer in Control HubServices in het menu links op het scherm. |
2 | Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellingen. De pagina Instellingen voor hybride databeveiliging wordt weergegeven.
|
3 | Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen gescheiden door komma's en druk op Enter. |
Gebruikers toevoegen aan of verwijderen uit uw proefperiode
Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker om sleutels en sleutels te maken vanuit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die is opgeslagen op uw KMS, zal de cloud-KMS deze namens de gebruiker ophalen.
Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep te beheren, HdsTrialGroup
; u kunt de groepsleden weergeven in Control Hub, maar ze niet toevoegen of verwijderen.
1 | Meld u aan bij Control Hub en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Proefmodus van het gebied Servicestatus op Gebruikers toevoegen of klik op weergeven en bewerken om gebruikers uit de proefperiode te verwijderen. |
4 | Voer het e-mailadres in van een of meer gebruikers die u wilt toevoegen of klik op de X met een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan . |
Overstappen van proefperiode naar productie
1 | Meld u aan bij Control Hub en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Servicestatus op Verplaatsen naar productie. |
4 | Bevestig dat u al uw gebruikers naar de productie wilt verplaatsen. |
Uw proefperiode beëindigen zonder over te stappen naar productie
1 | Meld u aan bij Control Hub en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Deactiveren op Deactiveren. |
4 | Bevestig dat u de service wilt deactiveren en beëindig de proefperiode. |
HDS-implementatie beheren
Gebruik de taken die hier worden beschreven om uw implementatie voor hybride databeveiliging te beheren.
Upgradeschema voor cluster instellen
De upgradeplanning instellen:
1 | Meld u aan Control Hub. |
2 | Klik op de pagina Overzicht onder Hybride services op Hybride databeveiliging. |
3 | Selecteer het cluster op de pagina Resources voor hybride databeveiliging. |
4 | Selecteer in het deelvenster Overzicht aan de rechterkant onder Clusterinstellingen de clusternaam. |
5 | Selecteer op de pagina Instellingen onder Upgraden de tijd en tijdzone voor het upgradeschema. Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen naar de volgende dag door op Uitstellen te klikken. |
De knooppuntconfiguratie wijzigen
x.509-certificaten wijzigen vanwege verlopen of andere redenen.
We ondersteunen het wijzigen van de CN- domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om het cluster te registreren.
Database-instellingen bijwerken om te wijzigen in een replica van de PostgreSQL- of Microsoft SQL Server-database.
We bieden geen ondersteuning voor het migreren van gegevens van PostgreSQL naar Microsoft SQL Server, of andersom. Als u de databaseomgeving wilt wijzigen, start u een nieuwe implementatie van Hybrid Data Security.
Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.
Om veiligheidsredenen gebruikt hybride databeveiliging serviceaccountwachtwoorden die elke 9 maanden worden gewijzigd. De HDS-setuptool genereert deze wachtwoorden en u implementeert ze in uw HDS-knooppunten als onderdeel van het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een 'kennisgeving van het verlopen van uw wachtwoord' van het Webex-team, waarin u wordt gevraagd het wachtwoord van uw machineaccount opnieuw in te stellen. (De e-mail bevat de tekst 'Gebruik de computeraccount- API om het wachtwoord bij te werken.') Als uw wachtwoorden nog niet zijn verlopen, biedt het hulpprogramma u twee opties:
Zachte reset —De oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO -bestand op de knooppunten geleidelijk te vervangen.
Harde reset —De oude wachtwoorden werken onmiddellijk niet meer.
Als uw wachtwoorden verlopen zonder een reset, heeft dit gevolgen voor uw HDS-service, waardoor een onmiddellijke harde reset en vervanging van het ISO -bestand op alle knooppunten nodig is.
Gebruik deze procedure om een nieuw ISO -configuratiebestand te genereren en dit toe te passen op uw cluster.
Voordat u begint
De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.
Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen bij het weergeven van de Docker-container in 1.e. Deze tabel geeft enkele mogelijke omgevingsvariabelen:
Beschrijving
Variabele
HTTP-proxy zonder verificatie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy zonder verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy met verificatie
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy met verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel die de PostgreSQL- of Microsoft SQL Server-database versleutelt. U hebt de ISO nodig wanneer u configuratiewijzigingen aanbrengt, inclusief databasereferenties, certificaatupdates of wijzigingen in het autorisatiebeleid.
1 | Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt. |
2 | Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor het -knooppunt en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies. |
3 | Koppel het ISO -bestand voor bestaande HDS-knooppunten waarop het oudere configuratiebestand wordt uitgevoerd. Voer de volgende procedure uit op elk knooppunt en werk elk knooppunt bij voordat u het volgende knooppunt uitschakelt: |
4 | Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen. |
Geblokkeerde externe DNS-resolutiemodus uitschakelen
Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. Als de DNS-server van het knooppunt geen openbare DNS-namen kan oplossen, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie.
Als uw knooppunten openbare DNS-namen kunnen oplossen via interne DNS-servers, kunt u deze modus uitschakelen door de proxyverbindingstest op elk knooppunt opnieuw uit te voeren.
Voordat u begint
1 | Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/instellingen, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden. |
2 | Ga naar Overzicht (de standaardpagina). Indien ingeschakeld, Geblokkeerde externe DNS omzetting is ingesteld op Ja . |
3 | Ga naar de pagina Vertrouwensarchief & Proxy. |
4 | Klik op Proxyverbinding controleren. Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken en blijft deze modus actief. Anders moet de geblokkeerde externe DNS-resolutie worden ingesteld op nee nadat u het knooppunt opnieuw hebt opgestart en teruggaat naar de pagina Overzicht. |
De volgende stappen
Een knooppunt verwijderen
1 | Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en de virtuele machine uit te schakelen. |
2 | Verwijder het knooppunt: |
3 | Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.) Als u de VM niet verwijdert, moet u het ISO-configuratiebestand loskoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken om toegang te krijgen tot uw beveiligingsgegevens. |
Noodherstel met behulp van het stand-bydatacenter
De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt voor het coderen van berichten en andere inhoud die in de Webex-cloud is opgeslagen. Voor elke gebruiker binnen de organisatie die is toegewezen aan hybride databeveiliging, worden nieuwe aanvragen voor het maken van sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de sleutels die zijn gemaakt aan gebruikers die bevoegd zijn om ze op te halen, bijvoorbeeld leden van een gespreksruimte.
Omdat het cluster de kritieke functie van het leveren van deze sleutels vervult, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden behouden. Verlies van de database met hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van inhoud van de klant. De volgende praktijken zijn verplicht om een dergelijk verlies te voorkomen:
Als door een calamiteit de HDS-implementatie in het primaire datacenter niet meer beschikbaar is, volgt u deze procedure om handmatig te failover te gaan naar het stand-bydatacenter.
1 | Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts. | ||
2 | Klik na het configureren van de Syslogd-server op Geavanceerde instellingen | ||
3 | Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe of verwijder de
| ||
4 | Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op. | ||
5 | Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||
6 | Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.. | ||
7 | Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.
| ||
8 | Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn. | ||
9 | Herhaal het proces voor elk knooppunt in het stand-bydatacenter.
|
De volgende stappen
(Optioneel) ISO loskoppelen na HDS-configuratie
De standaard HDS-configuratie wordt uitgevoerd met de ISO gemonteerd. Maar sommige klanten geven er de voorkeur aan ISO-bestanden niet continu gemonteerd achter te laten. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.
U gebruikt de ISO-bestanden nog steeds om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de installatietool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra al uw knooppunten de configuratiewijzigingen hebben overgenomen, kunt u de ISO opnieuw loskoppelen met deze procedure.
Voordat u begint
Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.
1 | Sluit een van uw HDS-knooppunten af. |
2 | Selecteer het HDS-knooppunt in het vCenter-serverapparaat. |
3 | Kies ISO-gegevensopslagbestand uitschakelen. en |
4 | Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 20 minuten geen alarmen zijn. |
5 | Herhaal dit om de beurt voor elk HDS-knooppunt. |
Waarschuwingen en problemen weergeven
Een implementatie voor hybride databeveiliging wordt als onbeschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als het cluster zo traag werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:
Nieuwe ruimten kunnen niet worden gemaakt (kan geen nieuwe sleutels maken)
Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:
Nieuwe gebruikers toegevoegd aan een ruimte (kan geen toetsen ophalen)
Bestaande gebruikers in een ruimte met een nieuwe client (kan geen sleutels ophalen)
Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben
Het is belangrijk dat u uw cluster voor hybride databeveiliging goed bewaakt en alle waarschuwingen onmiddellijk aanpakt om onderbrekingen van de service te voorkomen.
Waarschuwingen
Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen aan de organisatiebeheerder weer en worden e-mails naar het geconfigureerde e-mailadres verzonden. De waarschuwingen behandelen veel voorkomende scenario's.
Alarm | Actie |
---|---|
Toegang tot lokale database mislukt. |
Controleer op databasefouten of problemen met het lokale netwerk. |
Lokale databaseverbinding mislukt. |
Controleer of de databaseserver beschikbaar is en of de juiste serviceaccountgegevens zijn gebruikt in de knooppuntconfiguratie. |
Toegang tot cloudservice mislukt. |
Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Externe verbindingsvereisten. |
Cloudserviceregistratie vernieuwen. |
Registratie bij cloudservices is geschrapt. De registratie wordt vernieuwd. |
Registratie van cloudservice is verbroken. |
Registratie voor cloudservices is beëindigd. De service wordt afgesloten. |
Service nog niet geactiveerd. |
Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie. |
Het geconfigureerde domein komt niet overeen met het servercertificaat. |
Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein. De meest waarschijnlijke oorzaak is dat de CN van het certificaat onlangs is gewijzigd en nu verschilt van de CN die tijdens de eerste installatie is gebruikt. |
Kan niet verifiëren bij cloudservices. |
Controleer of de gegevens van het serviceaccount correct zijn en mogelijk verlopen. |
Kan lokaal keystore-bestand niet openen. |
Controleer op integriteit en nauwkeurigheid van het wachtwoord in het lokale keystore-bestand. |
Lokaal servercertificaat is ongeldig. |
Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie. |
Kan statistieken niet plaatsen. |
Controleer de toegang van het lokale netwerk tot externe cloudservices. |
/media/configdrive/hds directory bestaat niet. |
Controleer de ISO-montageconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om opnieuw op te starten en of het met succes wordt geïnstalleerd. |
Problemen met hybride databeveiliging oplossen
1 | Controleer Control Hub op waarschuwingen en los alle items op die u daar vindt. |
2 | Controleer de uitvoer van de syslog-server voor activiteit vanuit de implementatie voor hybride databeveiliging. |
3 | Neem contact op met de ondersteuning van Cisco. |
Bekende problemen voor hybride databeveiliging
Als u uw cluster voor hybride databeveiliging afsluit (door het te verwijderen in Control Hub of door alle knooppunten af te sluiten), uw configuratie-ISO-bestand verliest of toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst met personen die zijn gemaakt met toetsen van uw KMS. Dit geldt zowel voor proefperioden als voor productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en dringen er bij u op aan om uw HDS-services niet af te sluiten zodra ze actieve gebruikersaccounts afhandelen.
Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een periode (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefperiode voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken tot er een time-out optreedt. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact opneemt voor coderingssleutels.
Hetzelfde gedrag treedt op wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle niet-proefgebruikers met bestaande ECDH-verbindingen met de vorige gegevensbeveiligingsservices blijven deze services gebruiken totdat er opnieuw wordt onderhandeld over de ECDH-verbinding (via time-out of door afmelden en weer aanmelden).
OpenSSL gebruiken om een PKCS12-bestand te genereren
Voordat u begint
OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS Setup Tool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten niet op de een of andere manier.
Als u ervoor kiest om OpenSSL te gebruiken, bieden we deze procedure aan als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.
Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.
Maak een privésleutel aan.
Start deze procedure wanneer u het servercertificaat ontvangt van uw certificeringsinstantie (CA).
1 | Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als |
2 | Geef het certificaat weer als tekst en controleer de details.
|
3 | Gebruik een teksteditor om een certificaatbundelbestand met de naam
|
4 | Maak het .p12-bestand met de vriendelijke naam
|
5 | Controleer de gegevens van het servercertificaat. |
De volgende stappen
Ga terug naar Vereisten voor hybride databeveiliging voltooien. U gebruikt de hdsnode.p12
bestand en het wachtwoord dat u ervoor hebt ingesteld, in Create a Configuration ISO for the HDS Hosts.
U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt. |
Verkeer tussen de HDS-knooppunten en de cloud
Verkeer voor verzameling uitgaande statistieken
De knooppunten voor hybride databeveiliging sturen bepaalde statistieken naar de Webex-cloud. Dit zijn onder andere systeemstatistieken voor de maximale heap, gebruikte heap, CPU-belasting en draadtelling; statistieken over synchrone en asynchrone threads; statistieken over waarschuwingen met een drempelwaarde voor coderingsverbindingen, latentie of de lengte van een aanvraagwachtrij; statistieken over de gegevensopslag; en coderingsverbindingsstatistieken. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (gescheiden van het verzoekkanaal).
Inkomend verkeer
De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer vanuit de Webex-cloud:
Coderingsverzoeken van clients die door de coderingsservice worden gerouteerd
Upgrades naar de knooppuntsoftware
Squid-proxy's configureren voor hybride databeveiliging
Websocket kan geen verbinding maken via de Squid Proxy
Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de instelling van websocket ( wss:
) verbindingen die Hybride databeveiliging vereist. Deze secties bieden richtlijnen voor het configureren van verschillende versies van Squid om te negeren wss:
verkeer voor de goede werking van de diensten.
Inktvis 4 en 5
Voeg de on_unsupported_protocol
richtlijn tot squid.conf
:
on_unsupported_protocol tunnel all
Pijlinktvis 3.5.27
We hebben hybride databeveiliging met succes getest met de volgende regels toegevoegd aan squid.conf
. Deze regels kunnen worden gewijzigd bij het ontwikkelen van functies en het bijwerken van de Webex-cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nieuwe en gewijzigde informatie
Datum | Aangebrachte wijzigingen | ||
---|---|---|---|
20 oktober 2023 |
| ||
07 augustus 2023 |
| ||
23 mei 2023 |
| ||
06 december 2022 |
| ||
23 november 2022 |
| ||
13 oktober 2021 | Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker Desktop. | ||
24 juni 2021 | U kunt het bestand met de privésleutel en de CSR opnieuw gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie. | ||
30 april 2021 | De VM-vereiste voor lokale harde schijfruimte is gewijzigd in 30 GB. Zie Vereisten voor virtuele host voor meer informatie. | ||
24 februari 2021 | De HDS-installatietool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO maken voor de HDS-hosts voor meer informatie. | ||
2 februari 2021 | HDS kan nu worden uitgevoerd zonder een gemonteerd ISO-bestand. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie. | ||
11 januari 2021 | Informatie toegevoegd over het hulpprogramma HDS-instellingen en proxy's om een configuratie-ISO voor de HDS-hosts te maken. | ||
13 oktober 2020 | Bijgewerkte Installatiebestanden downloaden. | ||
8 oktober 2020 | Configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt. | ||
14 augustus 2020 | De configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces. | ||
5 augustus 2020 | Bijgewerkte Test uw implementatie voor hybride databeveiliging voor wijzigingen in logboekberichten. De vereisten voor de virtuele host zijn bijgewerkt om het maximale aantal hosts te verwijderen. | ||
16 juni 2020 | Bijgewerkt Een knooppunt verwijderen voor wijzigingen in de gebruikersinterface van Control Hub. | ||
4 juni 2020 | De ISO voor configuratie maken voor de HDS-hosts is bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk hebt ingesteld. | ||
29 mei 2020 | Bijgewerkt: maak een configuratie-ISO voor de HDS-hosts om aan te geven dat u ook TLS kunt gebruiken met SQL Server-databases, gebruikersgebruikerswijzigingen en andere verduidelijkingen. | ||
5 mei 2020 | De vereisten voor de virtuele host zijn bijgewerkt om de nieuwe vereisten voor ESXi 6.5 weer te geven. | ||
21 april 2020 | Bijgewerkte Externe connectiviteitsvereisten met nieuwe Americas CI-hosts. | ||
1 april 2020 | Bijgewerkte Externe connectiviteitsvereisten met informatie over regionale CI-hosts. | ||
20 februari 2020 | Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met informatie over het nieuwe optionele scherm Geavanceerde instellingen in de HDS-installatietool. | ||
4 februari 2020 | Proxyserververeisten bijgewerkt. | ||
16 december 2019 | De vereiste voor geblokkeerde externe DNS-resolutiemodus is verduidelijkt om te werken in de vereisten voor de proxyserver. | ||
19 november 2019 | Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende gedeelten: | ||
8 november 2019 | U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van erna. De volgende gedeelten zijn dienovereenkomstig bijgewerkt:
| ||
6 september 2019 | Standaard SQL-server toegevoegd aan vereisten voor databaseserver. | ||
29 augustus 2019 | Bijlage Squid-proxy's configureren voor hybride databeveiliging toegevoegd met richtlijnen voor het configureren van squid-proxy's om websocketverkeer te negeren voor een goede werking. | ||
20 augustus 2019 | Er zijn gedeelten toegevoegd en bijgewerkt voor proxyondersteuning voor communicatie van knooppunten voor hybride databeveiliging naar de Webex-cloud. Zie het Help-artikel Proxy-ondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie. | ||
13 juni 2019 | Bijgewerkte Trial to Production Task Flow met een herinnering om de HdsTrialGroup groepsobject voordat een proefperiode wordt gestart als uw organisatie adreslijstsynchronisatie gebruikt. | ||
6 maart 2019 |
| ||
28 februari 2019 |
| ||
26 februari 2019 |
| ||
24 januari 2019 |
| ||
5 november 2018 |
| ||
19 oktober 2018 |
| ||
31 juli 2018 |
| ||
21 mei 2018 | Gewijzigde terminologie om de rebranding van Cisco Spark weer te geven:
| ||
11 april 2018 |
| ||
22 februari 2018 |
| ||
15 februari 2018 |
| ||
18 januari 2018 |
| ||
2 november 2017 |
| ||
18 augustus 2017 | Voor het eerst gepubliceerd |
Overzicht van hybride databeveiliging
Vanaf dag één is gegevensbeveiliging de belangrijkste focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end inhoudsversleuteling, mogelijk gemaakt door Webex -app-clients die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografische sleutels die clients gebruiken om berichten en bestanden dynamisch te versleutelen en ontsleutelen.
Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride gegevensbeveiliging verplaatst het KMS en andere beveiligingsgerelateerde functies naar het bedrijfsgegevens , zodat niemand anders dan u de sleutels heeft tot uw versleutelde inhoud.
Architectuur beveiligingsgebied
De Webex-cloudarchitectuur scheidt verschillende soorten service in afzonderlijke realms of vertrouwensdomeinen, zoals hieronder wordt weergegeven.
Laten we eerst eens kijken naar deze zuivere cloudcase, waarin Cisco alle functies in zijn clouddomeinen aanbiedt om meer inzicht te krijgen in hybride databeveiliging. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks kunnen worden gecorreleerd met hun persoonlijke informatie zoals e-mailadres, is logisch en fysiek gescheiden van de beveiligingsrealm in datacenter B. Beide zijn op hun beurt gescheiden van de realm waar versleutelde inhoud uiteindelijk wordt opgeslagen, in datacenter C.
In dit diagram is de client de Webex-app die wordt uitgevoerd op de laptop van een gebruiker en is deze geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:
De client maakt een veilige verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel om het bericht te versleutelen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.
Het bericht wordt gecodeerd voordat het de client verlaat. De klant stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.
Het gecodeerde bericht wordt verzonden naar de nalevingsservice voor nalevingscontroles.
Het gecodeerde bericht wordt opgeslagen in de opslagrealm.
Wanneer u hybride databeveiliging implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de realms van Cisco.
Samenwerken met andere organisaties
Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, routeert uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS te krijgen en stuurt de sleutel vervolgens terug naar uw gebruiker op het oorspronkelijke kanaal.
De KMS-service die wordt uitgevoerd in organisatie A valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw implementatie voor hybride databeveiliging.
Verwachtingen voor het implementeren van hybride databeveiliging
Een implementatie van hybride databeveiliging vereist een aanzienlijke klantbetrokkenheid en een bewustzijn van de risico's van het bezit van coderingssleutels.
Als u hybride databeveiliging wilt implementeren, moet u het volgende opgeven:
Een beveiligd datacenter in een land dat een ondersteunde locatie is voor de Cisco Webex Teams-plannen.
De apparatuur, software en netwerktoegang die worden beschreven in Prepare Your Environment.
Volledig verlies van de configuratie-ISO die u maakt voor hybride databeveiliging of de database die u levert, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers inhoud van de ruimte en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar alleen nieuwe inhoud is zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:
De back-up en het herstel van de database en de configuratie-ISO beheren.
Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing in de databaseschijf of een ramp met het datacenter.
Er is geen mechanisme om sleutels na een HDS-implementatie terug naar de cloud te verplaatsen. |
Installatieproces op hoog niveau
Dit document behandelt het instellen en beheren van een implementatie voor hybride databeveiliging:
Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset gebruikers in de proefmodus en, zodra uw tests zijn voltooid, het verplaatsen naar productie. Hiermee wordt de hele organisatie geconverteerd om uw cluster voor hybride databeveiliging te gebruiken voor beveiligingsfuncties.
De installatie-, proef- en productiefasen worden in de volgende drie hoofdstukken in detail besproken.
Uw implementatie voor hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch voortdurende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig ondersteuning van Cisco inschakelen. U kunt meldingen op het scherm gebruiken en op e-mail gebaseerde waarschuwingen instellen in Control Hub.
Algemene waarschuwingen, stappen voor probleemoplossing en bekende problemen begrijpen: als u problemen ondervindt bij het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.
Implementatiemodel voor hybride databeveiliging
In uw bedrijfsdatacenter implementeert u hybride databeveiliging als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.
Tijdens het installatieproces bieden we u het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt monteert. Het cluster Hybride databeveiliging gebruikt de door u geleverde Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de details van de Syslogd- en databaseverbinding in de HDS-installatietool.)
Het minimumaantal knooppunten dat u in een cluster kunt hebben is twee. We raden ten minste drie aan en u kunt er maximaal vijf hebben. Als u meerdere knooppunten hebt, wordt de service niet onderbroken tijdens een software-upgrade of andere onderhoudsactiviteit op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)
Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en logboekactiviteit op dezelfde syslog-server. De knooppunten zelf zijn stateloos, en behandelen belangrijke verzoeken in round-robin mode, zoals geregisseerd door de cloud.
Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt buiten gebruik wilt stellen, kunt u de registratie ongedaan maken en later opnieuw registreren, indien nodig.
We ondersteunen slechts één cluster per organisatie.
Proefmodus voor hybride databeveiliging
Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u dit eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.
Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de pilootgebruikers en alle gebruikers met wie ze tijdens de proefperiode interactie hebben gehad door nieuwe ruimten te maken, de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.
Als u ervan overtuigd bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilootgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, bijvoorbeeld om noodherstel uit te voeren, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilootgebruikers voor de nieuwe proefperiode instellen voordat u teruggaat naar de productiemodus. Of gebruikers op dit moment toegang tot gegevens behouden, hangt af van het feit of u back-ups van de sleutelgegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster hebt onderhouden.
Standby-datacenter voor noodherstel
Tijdens de implementatie stelt u een beveiligd stand-bydatacenter in. In het geval van een ramp met een datacenter kunt u uw implementatie handmatig overzetten naar het stand-bydatacenter.
De databases van de actieve en stand-by datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is om de failover uit te voeren, tot een minimum wordt beperkt. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten zijn geregistreerd bij de organisatie, maar geen verkeer afhandelen. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van de HDS-software.
De actieve knooppunten voor hybride databeveiliging moeten altijd in hetzelfde datacenter zijn als de actieve databaseserver. |
Standby-datacenter instellen voor noodherstel
Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:
Voordat u begint
Het stand-bydatacenter moet de productieomgeving van VM's en een back-up PostgreSQL- of Microsoft SQL Server-database weerspiegelen. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. (Zie Standby Data Center for Disaster Recovery voor een overzicht van dit failovermodel.)
Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database met actieve en passieve clusterknooppunten.
1 | Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.
| ||
2 | Klik na het configureren van de Syslogd-server op Geavanceerde instellingen | ||
3 | Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar wordt er geen verkeer afgehandeld.
| ||
4 | Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op. | ||
5 | Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||
6 | Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.. | ||
7 | Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.
| ||
8 | Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn. | ||
9 | Herhaal het proces voor elk knooppunt in het stand-bydatacenter.
|
De volgende stappen
Na het configureren passiveMode
in het ISO-bestand en opslaan, kunt u een andere kopie van het ISO-bestand maken zonder de passiveMode
configureren en opslaan op een veilige locatie. Deze kopie van het ISO-bestand zonder passiveMode
geconfigureerd kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met behulp van het stand-bydatacenter voor de gedetailleerde failoverprocedure.
Proxyondersteuning
Hybride databeveiliging ondersteunt expliciete, transparante en niet-inspecterende proxy's. U kunt deze proxy's aan uw implementatie koppelen zodat u het verkeer van de onderneming naar de cloud kunt beveiligen en bewaken. U kunt een platformbeheerinterface op de knooppunten gebruiken voor certificaatbeheer en om de algehele verbindingsstatus te controleren nadat u de proxy op de knooppunten hebt ingesteld.
De knooppunten voor hybride databeveiliging ondersteunen de volgende proxyopties:
Geen proxy: de standaardinstelling als u de HDS-knooppuntconfiguratie Vertrouwensarchief en proxy niet gebruikt om een proxy te integreren. Er is geen certificaatupdate vereist.
Transparante niet-inspecterende proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaatupdate vereist.
Transparante tunneling of inspectie van proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP- of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).
Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welk proxyserver- en verificatieschema u moet gebruiken. Als u een expliciete proxy wilt configureren, moet u de volgende informatie op elk knooppunt invoeren:
Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.
Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.
Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:
HTTP: geeft alle verzoeken weer die de client verzendt en beheert deze.
HTTPS: biedt een kanaal naar de server. De client ontvangt het servercertificaat en valideert het.
Verificatietype: kies uit de volgende verificatietypen:
Geen: er is geen verdere verificatie vereist.
Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.
Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.
Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.
Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.
Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.
Alleen beschikbaar als u HTTPS selecteert als proxyprotocol.
Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.
Voorbeeld van knooppunten voor hybride databeveiliging en proxy
In dit diagram ziet u een voorbeeldverbinding tussen hybride databeveiliging, netwerk en een proxy. Voor de opties voor transparante inspectie en HTTPS expliciete inspectie proxy moet hetzelfde hoofdcertificaat worden geïnstalleerd op de proxy en op de knooppunten voor hybride databeveiliging.
Geblokkeerde externe DNS-resolutiemodus (expliciete proxyconfiguraties)
Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. In implementaties met expliciete proxyconfiguraties die geen externe DNS-resolutie voor interne clients toestaan, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie als het knooppunt de DNS-servers niet kan opvragen. In deze modus kunnen knooppuntregistratie en andere proxyverbindingstests worden voortgezet.
Vereisten voor hybride databeveiliging
Vereisten voor Cisco Webex-licenties
Hybride databeveiliging implementeren:
U moet beschikken over het Pro-pakket voor Cisco Webex Control Hub. (Zie https://www.cisco.com/go/pro-pack.)
Vereisten voor Docker Desktop
Voordat u uw HDS-knooppunten installeert, hebt u Docker Desktop nodig om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie heeft mogelijk een betaald abonnement voor Docker Desktop nodig. Voor meer informatie raadpleegt u het Docker-blogbericht ' Docker werkt onze productabonnementen bij en verlengt deze ".
Vereisten voor X.509-certificaten
De certificaatketen moet aan de volgende vereisten voldoen:
Vereiste | Details |
---|---|
| Standaard vertrouwen we de CA’s in de Mozilla lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs. |
| De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die uw organisatie weergeeft, bijvoorbeeld: De algemene naam mag geen * (jokerteken) bevatten. De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren bij clients van de Webex-app. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden. Zodra u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat kan worden toegepast op zowel de proefperiode- als productie-implementaties. |
| De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties. |
| U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen. U moet het wachtwoord invoeren wanneer u de HDS-installatietool uitvoert. |
De KMS-software dwingt sleutelgebruik of uitgebreide beperkingen voor sleutelgebruik niet af. Sommige certificeringsinstanties vereisen dat uitgebreide belangrijke gebruiksbeperkingen worden toegepast op elk certificaat, zoals serververificatie. U mag de serververificatie of andere instellingen gebruiken.
Vereisten voor virtuele host
De virtuele hosts die u instelt als knooppunten voor hybride databeveiliging in uw cluster, hebben de volgende vereisten:
Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich in hetzelfde beveiligde datacenter bevinden
VMware ESXi 6.5 (of hoger) geïnstalleerd en actief.
U moet upgraden als u een eerdere versie van ESXi hebt.
Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server
Vereisten voor databaseserver
Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. Wanneer de HDS-toepassingen zijn geïnstalleerd, maakt u het databaseschema. |
Er zijn twee opties voor databaseserver. De vereisten voor elk zijn als volgt:
PostgreSQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen) | Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen) |
De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:
PostgreSQL | Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 | SQL JDBC-stuurprogramma van SQL Server 4.6 Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover Cluster Instances en Always On availability groups). |
Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server
Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:
De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.
Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees-/schrijftoegang hebben tot de database.
De DNS-servers die u aan HDS-knooppunten levert, moeten uw Key Distribution Center (KDC) kunnen oplossen.
U kunt de HDS-database-instantie op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een servicenaam registreren voor Kerberos-verbindingen.
De HDS-installatietool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens van uw ISO-configuratie om de SPN te construeren wanneer ze toegang aanvragen met Kerberos-verificatie.
Externe connectiviteitsvereisten
Configureer uw firewall om de volgende verbinding voor de HDS-toepassingen toe te staan:
App | Protocol | Poort | Richting van app | Bestemming |
---|---|---|---|---|
Knooppunten voor hybride databeveiliging | TCP | 443 | Uitgaande HTTPS en WSS |
|
Hulpprogramma voor HDS-instellingen | TCP | 443 | Uitgaande HTTPS |
|
De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die inkomend zijn naar de knooppunten voor hybride databeveiliging, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients voor beheerdoeleinden toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22. |
De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:
Regio | Host-URL's van Common Identity |
---|---|
Amerika |
|
Europese Unie |
|
Canada |
|
Vereisten voor proxyserver
We ondersteunen officieel de volgende proxyoplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride databeveiliging.
Transparante proxy: Cisco Web Security Appliance (WSA).
Expliciete proxy: Squid.
Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de oprichting van websocket verstoren (wss:) verbindingen. Zie Squid-proxy's configureren voor hybride databeveiliging voor meer informatie over dit probleem.
We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:
Geen verificatie met HTTP of HTTPS
Basisverificatie met HTTP of HTTPS
Digestverificatie met alleen HTTPS
Voor een transparante inspecterende proxy of een expliciete HTTPS-proxy moet u een kopie hebben van het hoofdcertificaat van de proxy. De implementatie-instructies in deze handleiding vertellen u hoe u de kopie kunt uploaden naar de vertrouwensarchieven van de knooppunten voor hybride databeveiliging.
Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 te dwingen via de proxy te routeren.
Proxy's die webverkeer inspecteren, kunnen de verbindingen met de websocket verstoren. Indien dit probleem zich voordoet, verkeer overslaan (niet inspecteren) naar
wbx2.com
enciscospark.com
zal het probleem oplossen.
Voldoen aan de vereisten voor hybride databeveiliging
1 | Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en ontvang de referenties van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces. | ||
2 | Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld | ||
3 | Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt ten minste twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter zijn geplaatst en voldoen aan de vereisten in Vereisten voor virtuele host. | ||
4 | Bereid de databaseserver voor die zal fungeren als de belangrijkste gegevensopslag voor het cluster, overeenkomstig de vereisten voor de databaseserver. De databaseserver moet samen met de virtuele hosts in het beveiligde datacenter worden geplaatst. | ||
5 | Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. | ||
6 | Stel een Syslog-host in om logboeken te verzamelen van de knooppunten in het cluster. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514). | ||
7 | Maak een veilig back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.
Clients van de Webex-app brengen hun sleutels in de cache, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen niet te voorkomen zijn, kunnen ze worden hersteld. Volledig verlies (geen back-ups beschikbaar) van de database of het ISO-configuratiebestand leidt echter tot niet-herstelbare klantgegevens. Van de beheerders van de knooppunten voor hybride databeveiliging wordt verwacht dat ze regelmatig back-ups van de database en het configuratie-ISO-bestand onderhouden, en dat ze bereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als er een catastrofale storing optreedt. | ||
8 | Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw hybride databeveiligingsknooppunten mogelijk maakt, zoals beschreven in Externe connectiviteitsvereisten. | ||
9 | Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft tot het besturingssysteem op http://127.0.0.1:8080. U gebruikt het Docker-exemplaar om de HDS-installatietool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratie-informatie op voor alle knooppunten voor hybride databeveiliging. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker Desktop voor meer informatie. Om de HDS-setuptool te installeren en uit te voeren, moet de lokale machine de connectiviteit hebben die wordt beschreven in Externe connectiviteitsvereisten. | ||
10 | Als u een proxy integreert met hybride databeveiliging, moet u ervoor zorgen dat deze voldoet aan de vereisten voor de proxyserver. | ||
11 | Als uw organisatie adreslijstsynchronisatie gebruikt, maakt u een groep in Active Directory met de naam
|
Taakstroom implementatie hybride databeveiliging
Voordat u begint
1 | Installatiebestanden downloaden Download het OVA-bestand naar uw lokale computer voor later gebruik. | ||
2 | Een configuratie-ISO maken voor de HDS-hosts Gebruik de HDS-installatietool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging. | ||
3 |
Maak een virtuele machine vanuit het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.
| ||
4 | De VM voor hybride databeveiliging instellen Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd ten tijde van de OVA-implementatie. | ||
5 | De HDS-configuratie-ISO uploaden en koppelen Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-installatietool. | ||
6 | Het HDS-knooppunt configureren voor proxyintegratie Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u indien nodig het proxycertificaat toe aan het vertrouwensarchief. | ||
7 | Het eerste knooppunt in het cluster registreren Registreer de VM bij de Cisco Webex-cloud als een knooppunt voor hybride databeveiliging. | ||
8 | Meer knooppunten maken en registreren Voltooi de clusterinstelling. | ||
9 | Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk) Totdat u een proefperiode start, genereren uw knooppunten een alarm dat aangeeft dat uw service nog niet is geactiveerd. |
Installatiebestanden downloaden
1 | Meld u aan bij https://admin.webex.com en klik vervolgens op Services. | ||||
2 | Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik vervolgens op Instellen. Als de kaart is uitgeschakeld of u deze niet ziet, neemt u contact op met uw accountteam of uw partnerorganisatie. Geef uw accountnummer en vraag of u uw organisatie wilt inschakelen voor hybride databeveiliging. Als u het accountnummer wilt vinden, klikt u op het tandwiel rechtsboven naast de naam van uw organisatie.
| ||||
3 | Selecteer Nee om aan te geven dat u het knooppunt nog niet hebt ingesteld en klik vervolgens op Volgende. Het OVA-bestand begint automatisch te downloaden. Sla het bestand op een locatie op uw computer op.
| ||||
4 | U kunt ook op Implementatiehandleiding openen klikken om te controleren of er een latere versie van deze handleiding beschikbaar is. |
Een configuratie-ISO maken voor de HDS-hosts
Het installatieproces voor hybride databeveiliging maakt een ISO-bestand. Vervolgens gebruikt u de ISO om uw host voor hybride databeveiliging te configureren.
Voordat u begint
De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.
Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5 opent. Deze tabel geeft enkele mogelijke omgevingsvariabelen:
Beschrijving
Variabele
HTTP-proxy zonder verificatie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy zonder verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy met verificatie
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy met verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de nieuwste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals:
Aanmeldgegevens database
Certificaatupdates
Wijzigingen in het autorisatiebeleid
Als u databaseverbindingen wilt versleutelen, stelt u uw PostgreSQL- of SQL Server-implementatie voor TLS in.
1 | Voer op de opdrachtregel van uw computer de juiste opdracht voor uw omgeving in: In normale omgevingen:
In FedRAMP-omgevingen:
| ||||||||||||
2 | Voer het volgende in om u aan te aanmelden bij het Docker-installatiekopieregister:
| ||||||||||||
3 | Voer bij de wachtwoordprompt deze hash in:
| ||||||||||||
4 | Download de nieuwste stabiele installatiekopie voor uw omgeving: In normale omgevingen:
In FedRAMP-omgevingen:
| ||||||||||||
5 | Wanneer het ophalen is voltooid, voert u de juiste opdracht voor uw omgeving in:
Wanneer de container wordt uitgevoerd, ziet u 'Express-server luistert op poort 8080'. | ||||||||||||
6 |
Gebruik een webbrowser om naar de localhost te gaan De tool gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Het hulpprogramma geeft vervolgens de standaard aanmeldingsprompt weer. | ||||||||||||
7 | Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de Control Hub-klantbeheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan. | ||||||||||||
8 | Klik op de overzichtspagina van de installatietool op Aan de slag. | ||||||||||||
9 | Op de pagina ISO Import hebt u de volgende opties:
| ||||||||||||
10 | Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.
| ||||||||||||
11 | Voer het databaseadres en het account voor HDS in om toegang te krijgen tot uw belangrijke gegevensopslag: | ||||||||||||
12 | Selecteer een TLS-databaseverbindingsmodus:
Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-installatietool de TLS-verbinding met de databaseserver. Het hulpprogramma verifieert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, geeft het hulpprogramma een foutmelding waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en wilt doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de HDS-installatietool niet met succes kan worden getest.) | ||||||||||||
13 | Configureer uw Syslogd-server op de pagina Systeemlogboeken: | ||||||||||||
14 | (Optioneel) U kunt de standaardwaarde voor bepaalde parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u wilt wijzigen:
| ||||||||||||
15 | Klik op Doorgaan op het scherm Wachtwoord serviceaccounts opnieuw instellen. Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u wilt deze opnieuw instellen om eerdere ISO-bestanden ongeldig te maken. | ||||||||||||
16 | Klik op ISO-bestand downloaden. Sla het bestand op een gemakkelijk te vinden locatie op. | ||||||||||||
17 | Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||||||||||||
18 | Als u het installatieprogramma wilt afsluiten, typt u |
De volgende stappen
Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten voor herstel te maken of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het herstellen van de sleutels uit uw PostgreSQL- of Microsoft SQL Server-database is niet mogelijk.
We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze kwijtraakt. |
De HDS-host-OVA installeren
1 | Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host. | ||||||
2 | Selecteer File > Deploy OVF Template. | ||||||
3 | Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende. | ||||||
4 | Op de Selecteer een naam en map pagina, voer een in Naam virtuele machine voor het knooppunt (bijvoorbeeld 'HDS_Node_1') kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u vervolgens op Volgende. | ||||||
5 | Op de Een computerbron selecteren pagina, kies de bestemming compute resource en klik vervolgens op Volgende. Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloondetails weergegeven. | ||||||
6 | Controleer de sjabloondetails en klik op Volgende. | ||||||
7 | Als u wordt gevraagd de resourceconfiguratie te kiezen op de Configuratie pagina, klik op 4 CPU en klik vervolgens op Volgende. | ||||||
8 | Op de Selecteer opslag pagina, klik op Volgende om de standaard schijfindeling en het VM-opslagbeleid te accepteren. | ||||||
9 | Op de Selecteer netwerken-pagina, kies de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden. | ||||||
10 | Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen:
Indien gewenst kunt u de configuratie van de netwerkinstellingen overslaan en de stappen volgen in De hybride databeveiliging VM instellen om de instellingen vanaf de knooppuntconsole te configureren.
| ||||||
11 | Klik met de rechtermuisknop op het knooppunt VM en kies .De software voor hybride databeveiliging is geïnstalleerd als gast op de VM-host. U kunt zich nu aanmelden bij de console en het knooppunt configureren. Tips voor het oplossen van problemen U kunt een vertraging van een paar minuten ervaren voordat de knooppuntcontainers naar boven komen. Er verschijnt een brugfirewallbericht op de console tijdens de eerste keer opstarten, tijdens welke u zich niet kunt aanmelden. |
De VM voor hybride databeveiliging instellen
Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.
1 | Selecteer in de VMware vSphere-client uw knooppunt voor hybride databeveiliging VM en selecteer het tabblad Console. De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldprompt niet wordt weergegeven, drukt u op Enter.
|
2 | Gebruik de volgende standaardaanmelding en het volgende wachtwoord om u aan te melden en de aanmeldgegevens te wijzigen: Aangezien u zich voor de eerste keer aanmeldt bij uw VM, moet u het beheerderswachtwoord wijzigen. |
3 | Als u de netwerkinstellingen al hebt geconfigureerd in Install the HDS Host OVA, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken. |
4 | Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund. |
5 | (Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om aan uw netwerkbeleid te voldoen. U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen. |
6 | Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen van kracht worden. |
De HDS-configuratie-ISO uploaden en koppelen
Voordat u begint
Omdat het ISO-bestand de hoofdsleutel bevat, mag het alleen worden blootgesteld op een 'need to know'-basis, voor toegang door de VM's voor hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen die beheerders toegang hebben tot de gegevensopslag.
1 | Upload het ISO-bestand vanaf uw computer: |
2 | Koppel het ISO-bestand: |
De volgende stappen
Als uw IT-beleid dit vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.
Het HDS-knooppunt configureren voor proxyintegratie
Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride databeveiliging. Als u een transparante inspecterende proxy of een expliciete HTTPS-proxy kiest, kunt u de interface van het knooppunt gebruiken om het hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding controleren vanuit de interface en mogelijke problemen oplossen.
Voordat u begint
Zie Proxyondersteuning voor een overzicht van de ondersteunde proxyopties.
1 | Voer de URL voor het instellen van het HDS-knooppunt in |
2 | Ga naar Trust Store & Proxy en kies een optie:
Volg de volgende stappen voor een transparante inspecterende proxy, een expliciete HTTP-proxy met basisverificatie of een expliciete HTTPS-proxy. |
3 | Klik op Upload a Root Certificate or End Entity Certificate (Een hoofdcertificaat uploaden of een entiteitscertificaat beëindigen) en navigeer vervolgens naar een hoofdcertificaat voor de proxy kiezen. Het certificaat is geüpload maar nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijl van de chevron bij de naam van de certificaatverstrekker voor meer informatie of klik op Verwijderen als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden. |
4 | Klik op Proxyverbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen. Als de verbindingstest mislukt, ziet u een foutbericht met de reden en hoe u het probleem kunt oplossen. Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken. Deze voorwaarde wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de modus Geblokkeerde externe DNS-resolutie. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u Geblokkeerde externe DNS-resolutiemodus uitschakelen. |
5 | Nadat de verbindingstest is verlopen en de expliciete proxy alleen is ingesteld op https, schakelt u de schakelaar in op Alle poort 443/444-https-verzoeken van dit knooppunt routeren via de expliciete proxy. Deze instelling heeft 15 seconden nodig om van kracht te worden. |
6 | Klik op Alle certificaten installeren in de Trust Store (wordt weergegeven voor een expliciete HTTPS-proxy of een transparante inspecterende proxy) of Opnieuw opstarten (wordt weergegeven voor een expliciete HTTP-proxy), lees de prompt en klik vervolgens op Installeren als u klaar bent. Het knooppunt wordt binnen een paar minuten opnieuw opgestart. |
7 | Nadat het knooppunt opnieuw is opgestart, meldt u zich indien nodig opnieuw aan en opent u de pagina Overzicht om de connectiviteitscontroles te controleren en ervoor te zorgen dat ze allemaal groen zijn. Met de proxyverbindingscontrole wordt alleen een subdomein van webex.com getest. Als er verbindingsproblemen zijn, is een algemeen probleem dat sommige van de clouddomeinen die in de installatie-instructies worden vermeld, worden geblokkeerd bij de proxy. |
Het eerste knooppunt in het cluster registreren
Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd om redundantie te bieden.
Voordat u begint
Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.
Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.
1 | Meld u aan bij https://admin.webex.com. |
2 | Selecteer Services in het menu links op het scherm. |
3 | Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellen. De pagina Knooppunt voor hybride databeveiliging registreren wordt weergegeven.
|
4 | Selecteer Ja om aan te geven dat u het knooppunt hebt ingesteld en klaar bent om het te registreren. Klik vervolgens op Volgende. |
5 | Voer in het eerste veld een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen. We raden u aan een cluster een naam te geven op basis van waar de knooppunten van het cluster zich geografisch bevinden. Voorbeelden: "San Francisco" of "New York" of "Dallas" |
6 | Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende. Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein dat u hebt gebruikt in De VM voor hybride databeveiliging instellen. Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex.
|
7 | Klik op Ga naar knooppunt. |
8 | Klik in het waarschuwingsbericht op Doorgaan. Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.
|
9 | Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan. Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
|
10 | Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub. Op de pagina Hybride databeveiliging wordt het nieuwe cluster weergegeven met het knooppunt dat u hebt geregistreerd. Het knooppunt downloadt automatisch de nieuwste software vanuit de cloud.
|
Meer knooppunten maken en registreren
Op dit moment zijn de back-up-VM's die u hebt gemaakt in Voldoen aan de vereisten voor hybride databeveiliging stand-byhosts die alleen worden gebruikt in het geval van noodherstel. Ze zijn tot die tijd niet geregistreerd bij het systeem. Zie Noodherstel met behulp van het stand-bydatacenter voor meer informatie. |
Voordat u begint
Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.
Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.
1 | Maak een nieuwe virtuele machine vanuit de OVA en herhaal de stappen in Installeer de HDS-host-OVA. |
2 | Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De hybride databeveiliging instellen. |
3 | Herhaal op de nieuwe VM de stappen in Upload and Mount the HDS Configuration ISO. |
4 | Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Configureer het HDS-knooppunt voor proxyintegratie indien nodig voor het nieuwe knooppunt. |
5 | Registreer het knooppunt. Uw knooppunt is geregistreerd. Houd er rekening mee dat totdat u een proefperiode start, uw knooppunten een alarm genereren dat aangeeft dat uw service nog niet is geactiveerd.
|
De volgende stappen
Doorstroom proefperiode naar productietaak
Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers toevoegen en deze gaan gebruiken om uw implementatie te testen en te verifiëren ter voorbereiding op de overgang naar productie.
Voordat u begint
1 | Indien van toepassing, synchroniseer de Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de |
2 |
Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd. |
3 | Uw implementatie voor hybride databeveiliging testen Controleer of belangrijke aanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging. |
4 | Gezondheid van hybride databeveiliging controleren Controleer de status en stel e-mailmeldingen in voor alarmen. |
5 | |
6 | Voltooi de onderzoeksfase met een van de volgende acties: |
Proefperiode activeren
Voordat u begint
Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup
groepsobject voor synchronisatie met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.
1 | Meld u aan bij https://admin.webex.com en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Servicestatus op Proefperiode starten. De servicestatus verandert in de proefmodus.
|
4 | Klik op Gebruikers toevoegen en voer het e-mailadres van een of meer gebruikers in om uw knooppunten voor hybride databeveiliging te gebruiken voor codering- en indexeringsservices. (Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory om de testgroep te beheren, |
Uw implementatie voor hybride databeveiliging testen
Voordat u begint
Stel uw implementatie voor hybride databeveiliging in.
Activeer de proefperiode en voeg verschillende proefgebruikers toe.
Zorg ervoor dat u toegang hebt tot de syslog om te controleren of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.
1 | Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilootgebruikers en maak vervolgens een ruimte en nodig ten minste één pilootgebruiker en één niet-pilootgebruiker uit.
| ||
2 | Verzend berichten naar de nieuwe ruimte. | ||
3 | Controleer de syslog-uitvoer om te controleren of de sleutelaanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging. |
Gezondheid van hybride databeveiliging controleren
1 | Selecteer in Control HubServices in het menu links op het scherm. |
2 | Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellingen. De pagina Instellingen voor hybride databeveiliging wordt weergegeven.
|
3 | Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen gescheiden door komma's en druk op Enter. |
Gebruikers toevoegen aan of verwijderen uit uw proefperiode
Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker om sleutels en sleutels te maken vanuit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die is opgeslagen op uw KMS, zal de cloud-KMS deze namens de gebruiker ophalen.
Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep te beheren, HdsTrialGroup
; u kunt de groepsleden weergeven in Control Hub, maar ze niet toevoegen of verwijderen.
1 | Meld u aan bij Control Hub en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Proefmodus van het gebied Servicestatus op Gebruikers toevoegen of klik op weergeven en bewerken om gebruikers uit de proefperiode te verwijderen. |
4 | Voer het e-mailadres in van een of meer gebruikers die u wilt toevoegen of klik op de X met een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan . |
Overstappen van proefperiode naar productie
1 | Meld u aan bij Control Hub en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Servicestatus op Verplaatsen naar productie. |
4 | Bevestig dat u al uw gebruikers naar de productie wilt verplaatsen. |
Uw proefperiode beëindigen zonder over te stappen naar productie
1 | Meld u aan bij Control Hub en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Deactiveren op Deactiveren. |
4 | Bevestig dat u de service wilt deactiveren en beëindig de proefperiode. |
HDS-implementatie beheren
Gebruik de taken die hier worden beschreven om uw implementatie voor hybride databeveiliging te beheren.
Upgradeschema voor cluster instellen
De upgradeplanning instellen:
1 | Meld u aan Control Hub. |
2 | Klik op de pagina Overzicht onder Hybride services op Hybride databeveiliging. |
3 | Selecteer het cluster op de pagina Resources voor hybride databeveiliging. |
4 | Selecteer in het deelvenster Overzicht aan de rechterkant onder Clusterinstellingen de clusternaam. |
5 | Selecteer op de pagina Instellingen onder Upgraden de tijd en tijdzone voor het upgradeschema. Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen naar de volgende dag door op Uitstellen te klikken. |
De knooppuntconfiguratie wijzigen
x.509-certificaten wijzigen vanwege verlopen of andere redenen.
We ondersteunen het wijzigen van de CN- domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om het cluster te registreren.
Database-instellingen bijwerken om te wijzigen in een replica van de PostgreSQL- of Microsoft SQL Server-database.
We bieden geen ondersteuning voor het migreren van gegevens van PostgreSQL naar Microsoft SQL Server, of andersom. Als u de databaseomgeving wilt wijzigen, start u een nieuwe implementatie van Hybrid Data Security.
Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.
Om veiligheidsredenen gebruikt hybride databeveiliging serviceaccountwachtwoorden die elke 9 maanden worden gewijzigd. De HDS-setuptool genereert deze wachtwoorden en u implementeert ze in uw HDS-knooppunten als onderdeel van het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een 'kennisgeving van het verlopen van uw wachtwoord' van het Webex-team, waarin u wordt gevraagd het wachtwoord van uw machineaccount opnieuw in te stellen. (De e-mail bevat de tekst 'Gebruik de computeraccount- API om het wachtwoord bij te werken.') Als uw wachtwoorden nog niet zijn verlopen, biedt het hulpprogramma u twee opties:
Zachte reset —De oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO -bestand op de knooppunten geleidelijk te vervangen.
Harde reset —De oude wachtwoorden werken onmiddellijk niet meer.
Als uw wachtwoorden verlopen zonder een reset, heeft dit gevolgen voor uw HDS-service, waardoor een onmiddellijke harde reset en vervanging van het ISO -bestand op alle knooppunten nodig is.
Gebruik deze procedure om een nieuw ISO -configuratiebestand te genereren en dit toe te passen op uw cluster.
Voordat u begint
De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, voert u Docker uit op die computer. Het installatieproces vereist de referenties van een Control Hub-account met volledige beheerdersrechten voor uw organisatie.
Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen bij het weergeven van de Docker-container in 1.e. Deze tabel geeft enkele mogelijke omgevingsvariabelen:
Beschrijving
Variabele
HTTP-proxy zonder verificatie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy zonder verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy met verificatie
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy met verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel die de PostgreSQL- of Microsoft SQL Server-database versleutelt. U hebt de ISO nodig wanneer u configuratiewijzigingen aanbrengt, inclusief databasereferenties, certificaatupdates of wijzigingen in het autorisatiebeleid.
1 | Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt. |
2 | Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor het -knooppunt en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies. |
3 | Koppel het ISO -bestand voor bestaande HDS-knooppunten waarop het oudere configuratiebestand wordt uitgevoerd. Voer de volgende procedure uit op elk knooppunt en werk elk knooppunt bij voordat u het volgende knooppunt uitschakelt: |
4 | Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen. |
Geblokkeerde externe DNS-resolutiemodus uitschakelen
Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. Als de DNS-server van het knooppunt geen openbare DNS-namen kan oplossen, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie.
Als uw knooppunten openbare DNS-namen kunnen oplossen via interne DNS-servers, kunt u deze modus uitschakelen door de proxyverbindingstest op elk knooppunt opnieuw uit te voeren.
Voordat u begint
1 | Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/instellingen, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden. |
2 | Ga naar Overzicht (de standaardpagina). Indien ingeschakeld, Geblokkeerde externe DNS omzetting is ingesteld op Ja . |
3 | Ga naar de pagina Vertrouwensarchief & Proxy. |
4 | Klik op Proxyverbinding controleren. Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken en blijft deze modus actief. Anders moet de geblokkeerde externe DNS-resolutie worden ingesteld op nee nadat u het knooppunt opnieuw hebt opgestart en teruggaat naar de pagina Overzicht. |
De volgende stappen
Een knooppunt verwijderen
1 | Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en de virtuele machine uit te schakelen. |
2 | Verwijder het knooppunt: |
3 | Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.) Als u de VM niet verwijdert, moet u het ISO-configuratiebestand loskoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken om toegang te krijgen tot uw beveiligingsgegevens. |
Noodherstel met behulp van het stand-bydatacenter
De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt voor het coderen van berichten en andere inhoud die in de Webex-cloud is opgeslagen. Voor elke gebruiker binnen de organisatie die is toegewezen aan hybride databeveiliging, worden nieuwe aanvragen voor het maken van sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de sleutels die zijn gemaakt aan gebruikers die bevoegd zijn om ze op te halen, bijvoorbeeld leden van een gespreksruimte.
Omdat het cluster de kritieke functie van het leveren van deze sleutels vervult, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden behouden. Verlies van de database met hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van inhoud van de klant. De volgende praktijken zijn verplicht om een dergelijk verlies te voorkomen:
Als door een calamiteit de HDS-implementatie in het primaire datacenter niet meer beschikbaar is, volgt u deze procedure om handmatig te failover te gaan naar het stand-bydatacenter.
1 | Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts. | ||
2 | Klik na het configureren van de Syslogd-server op Geavanceerde instellingen | ||
3 | Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe of verwijder de
| ||
4 | Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op. | ||
5 | Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||
6 | Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.. | ||
7 | Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.
| ||
8 | Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn. | ||
9 | Herhaal het proces voor elk knooppunt in het stand-bydatacenter.
|
De volgende stappen
(Optioneel) ISO loskoppelen na HDS-configuratie
De standaard HDS-configuratie wordt uitgevoerd met de ISO gemonteerd. Maar sommige klanten geven er de voorkeur aan ISO-bestanden niet continu gemonteerd achter te laten. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.
U gebruikt de ISO-bestanden nog steeds om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de installatietool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra al uw knooppunten de configuratiewijzigingen hebben overgenomen, kunt u de ISO opnieuw loskoppelen met deze procedure.
Voordat u begint
Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.
1 | Sluit een van uw HDS-knooppunten af. |
2 | Selecteer het HDS-knooppunt in het vCenter-serverapparaat. |
3 | Kies ISO-gegevensopslagbestand uitschakelen. en |
4 | Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 20 minuten geen alarmen zijn. |
5 | Herhaal dit om de beurt voor elk HDS-knooppunt. |
Waarschuwingen en problemen weergeven
Een implementatie voor hybride databeveiliging wordt als onbeschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als het cluster zo traag werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:
Nieuwe ruimten kunnen niet worden gemaakt (kan geen nieuwe sleutels maken)
Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:
Nieuwe gebruikers toegevoegd aan een ruimte (kan geen toetsen ophalen)
Bestaande gebruikers in een ruimte met een nieuwe client (kan geen sleutels ophalen)
Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben
Het is belangrijk dat u uw cluster voor hybride databeveiliging goed bewaakt en alle waarschuwingen onmiddellijk aanpakt om onderbrekingen van de service te voorkomen.
Waarschuwingen
Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen aan de organisatiebeheerder weer en worden e-mails naar het geconfigureerde e-mailadres verzonden. De waarschuwingen behandelen veel voorkomende scenario's.
Alarm | Actie |
---|---|
Toegang tot lokale database mislukt. |
Controleer op databasefouten of problemen met het lokale netwerk. |
Lokale databaseverbinding mislukt. |
Controleer of de databaseserver beschikbaar is en of de juiste serviceaccountgegevens zijn gebruikt in de knooppuntconfiguratie. |
Toegang tot cloudservice mislukt. |
Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Externe verbindingsvereisten. |
Cloudserviceregistratie vernieuwen. |
Registratie bij cloudservices is geschrapt. De registratie wordt vernieuwd. |
Registratie van cloudservice is verbroken. |
Registratie voor cloudservices is beëindigd. De service wordt afgesloten. |
Service nog niet geactiveerd. |
Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie. |
Het geconfigureerde domein komt niet overeen met het servercertificaat. |
Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein. De meest waarschijnlijke oorzaak is dat de CN van het certificaat onlangs is gewijzigd en nu verschilt van de CN die tijdens de eerste installatie is gebruikt. |
Kan niet verifiëren bij cloudservices. |
Controleer of de gegevens van het serviceaccount correct zijn en mogelijk verlopen. |
Kan lokaal keystore-bestand niet openen. |
Controleer op integriteit en nauwkeurigheid van het wachtwoord in het lokale keystore-bestand. |
Lokaal servercertificaat is ongeldig. |
Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie. |
Kan statistieken niet plaatsen. |
Controleer de toegang van het lokale netwerk tot externe cloudservices. |
/media/configdrive/hds directory bestaat niet. |
Controleer de ISO-montageconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om opnieuw op te starten en of het met succes wordt geïnstalleerd. |
Problemen met hybride databeveiliging oplossen
1 | Controleer Control Hub op waarschuwingen en los alle items op die u daar vindt. |
2 | Controleer de uitvoer van de syslog-server voor activiteit vanuit de implementatie voor hybride databeveiliging. |
3 | Neem contact op met de ondersteuning van Cisco. |
Bekende problemen voor hybride databeveiliging
Als u uw cluster voor hybride databeveiliging afsluit (door het te verwijderen in Control Hub of door alle knooppunten af te sluiten), uw configuratie-ISO-bestand verliest of toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst met personen die zijn gemaakt met toetsen van uw KMS. Dit geldt zowel voor proefperioden als voor productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en dringen er bij u op aan om uw HDS-services niet af te sluiten zodra ze actieve gebruikersaccounts afhandelen.
Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een periode (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefperiode voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken tot er een time-out optreedt. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact opneemt voor coderingssleutels.
Hetzelfde gedrag treedt op wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle niet-proefgebruikers met bestaande ECDH-verbindingen met de vorige gegevensbeveiligingsservices blijven deze services gebruiken totdat er opnieuw wordt onderhandeld over de ECDH-verbinding (via time-out of door afmelden en weer aanmelden).
OpenSSL gebruiken om een PKCS12-bestand te genereren
Voordat u begint
OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS Setup Tool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten niet op de een of andere manier.
Als u ervoor kiest om OpenSSL te gebruiken, bieden we deze procedure aan als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.
Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.
Maak een privésleutel aan.
Start deze procedure wanneer u het servercertificaat ontvangt van uw certificeringsinstantie (CA).
1 | Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als |
2 | Geef het certificaat weer als tekst en controleer de details.
|
3 | Gebruik een teksteditor om een certificaatbundelbestand met de naam
|
4 | Maak het .p12-bestand met de vriendelijke naam
|
5 | Controleer de gegevens van het servercertificaat. |
De volgende stappen
Ga terug naar Vereisten voor hybride databeveiliging voltooien. U gebruikt de hdsnode.p12
bestand en het wachtwoord dat u ervoor hebt ingesteld, in Create a Configuration ISO for the HDS Hosts.
U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt. |
Verkeer tussen de HDS-knooppunten en de cloud
Verkeer voor verzameling uitgaande statistieken
De knooppunten voor hybride databeveiliging sturen bepaalde statistieken naar de Webex-cloud. Dit zijn onder andere systeemstatistieken voor de maximale heap, gebruikte heap, CPU-belasting en draadtelling; statistieken over synchrone en asynchrone threads; statistieken over waarschuwingen met een drempelwaarde voor coderingsverbindingen, latentie of de lengte van een aanvraagwachtrij; statistieken over de gegevensopslag; en coderingsverbindingsstatistieken. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (gescheiden van het verzoekkanaal).
Inkomend verkeer
De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer vanuit de Webex-cloud:
Coderingsverzoeken van clients die door de coderingsservice worden gerouteerd
Upgrades naar de knooppuntsoftware
Squid-proxy's configureren voor hybride databeveiliging
Websocket kan geen verbinding maken via de Squid Proxy
Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de instelling van websocket ( wss:
) verbindingen die Hybride databeveiliging vereist. Deze secties bieden richtlijnen voor het configureren van verschillende versies van Squid om te negeren wss:
verkeer voor de goede werking van de diensten.
Inktvis 4 en 5
Voeg de on_unsupported_protocol
richtlijn tot squid.conf
:
on_unsupported_protocol tunnel all
Pijlinktvis 3.5.27
We hebben hybride databeveiliging met succes getest met de volgende regels toegevoegd aan squid.conf
. Deze regels kunnen worden gewijzigd bij het ontwikkelen van functies en het bijwerken van de Webex-cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nieuwe en gewijzigde informatie
Datum |
Aangebrachte wijzigingen | ||
---|---|---|---|
20 oktober 2023 |
| ||
07 augustus 2023 |
| ||
23 mei 2023 |
| ||
06 december 2022 |
| ||
23 november 2022 |
| ||
13 oktober 2021 |
Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker Desktop. | ||
24 juni 2021 |
U kunt het bestand met de privésleutel en de CSR opnieuw gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie. | ||
30 april 2021 |
De VM-vereiste voor lokale harde schijfruimte is gewijzigd in 30 GB. Zie Vereisten voor virtuele host voor meer informatie. | ||
24 februari 2021 |
De HDS-installatietool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO maken voor de HDS-hosts voor meer informatie. | ||
2 februari 2021 |
HDS kan nu worden uitgevoerd zonder een gemonteerd ISO-bestand. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie. | ||
11 januari 2021 |
Informatie toegevoegd over het hulpprogramma HDS-instellingen en proxy's om een configuratie-ISO voor de HDS-hosts te maken. | ||
13 oktober 2020 |
Bijgewerkte Installatiebestanden downloaden. | ||
8 oktober 2020 |
Configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt. | ||
14 augustus 2020 |
De configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces. | ||
5 augustus 2020 |
Bijgewerkte Test uw implementatie voor hybride databeveiliging voor wijzigingen in logboekberichten. De vereisten voor de virtuele host zijn bijgewerkt om het maximale aantal hosts te verwijderen. | ||
16 juni 2020 |
Bijgewerkt Een knooppunt verwijderen voor wijzigingen in de gebruikersinterface van Control Hub. | ||
4 juni 2020 |
De ISO voor configuratie maken voor de HDS-hosts is bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk hebt ingesteld. | ||
29 mei 2020 |
Bijgewerkt: maak een configuratie-ISO voor de HDS-hosts om aan te geven dat u ook TLS kunt gebruiken met SQL Server-databases, gebruikersgebruikerswijzigingen en andere verduidelijkingen. | ||
5 mei 2020 |
De vereisten voor de virtuele host zijn bijgewerkt om de nieuwe vereisten voor ESXi 6.5 weer te geven. | ||
21 april 2020 |
Bijgewerkte Externe connectiviteitsvereisten met nieuwe Americas CI-hosts. | ||
1 april 2020 |
Bijgewerkte Externe connectiviteitsvereisten met informatie over regionale CI-hosts. | ||
20 februari 2020 | Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met informatie over het nieuwe optionele scherm Geavanceerde instellingen in de HDS-installatietool. | ||
4 februari 2020 | Proxyserververeisten bijgewerkt. | ||
16 december 2019 | De vereiste voor geblokkeerde externe DNS-resolutiemodus is verduidelijkt om te werken in de vereisten voor de proxyserver. | ||
19 november 2019 |
Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende gedeelten: | ||
8 november 2019 |
U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van erna. De volgende gedeelten zijn dienovereenkomstig bijgewerkt:
| ||
6 september 2019 |
Standaard SQL-server toegevoegd aan vereisten voor databaseserver. | ||
29 augustus 2019 | Bijlage Squid-proxy's configureren voor hybride databeveiliging toegevoegd met richtlijnen voor het configureren van squid-proxy's om websocketverkeer te negeren voor een goede werking. | ||
20 augustus 2019 |
Er zijn gedeelten toegevoegd en bijgewerkt voor proxyondersteuning voor communicatie van knooppunten voor hybride databeveiliging naar de Webex-cloud. Zie het Help-artikel Proxy-ondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie. | ||
13 juni 2019 | Bijgewerkte Trial to Production Task Flow met een herinnering om het HdsTrialGroup -groepsobject te synchroniseren voordat een proefperiode wordt gestart als uw organisatie adreslijstsynchronisatie gebruikt. | ||
6 maart 2019 |
| ||
28 februari 2019 |
| ||
26 februari 2019 |
| ||
24 januari 2019 |
| ||
5 november 2018 |
| ||
19 oktober 2018 |
| ||
31 juli 2018 |
| ||
21 mei 2018 |
Gewijzigde terminologie om de rebranding van Cisco Spark weer te geven:
| ||
11 april 2018 |
| ||
22 februari 2018 |
| ||
15 februari 2018 |
| ||
18 januari 2018 |
| ||
2 november 2017 |
| ||
18 augustus 2017 |
Voor het eerst gepubliceerd |
Overzicht van hybride databeveiliging
Vanaf dag één is gegevensbeveiliging de belangrijkste focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end-inhoudcodering, ingeschakeld door clients van de Webex-app die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografiesleutels die clients gebruiken om berichten en bestanden dynamisch te coderen en te decoderen.
Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride databeveiliging verplaatst de KMS en andere beveiligingsgerelateerde functies naar uw bedrijfsdatacenter, dus niemand maar u beschikt over de sleutels voor uw gecodeerde inhoud.
Architectuur beveiligingsgebied
De Webex-cloudarchitectuur scheidt verschillende soorten service in afzonderlijke realms of vertrouwensdomeinen, zoals hieronder wordt weergegeven.
Laten we eerst eens kijken naar deze zuivere cloudcase, waarin Cisco alle functies in zijn clouddomeinen aanbiedt om meer inzicht te krijgen in hybride databeveiliging. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks kunnen worden gecorreleerd met hun persoonlijke informatie zoals e-mailadres, is logisch en fysiek gescheiden van de beveiligingsrealm in datacenter B. Beide zijn op hun beurt gescheiden van de realm waar versleutelde inhoud uiteindelijk wordt opgeslagen, in datacenter C.
In dit diagram is de client de Webex-app die wordt uitgevoerd op de laptop van een gebruiker en is deze geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:
-
De client maakt een veilige verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel om het bericht te versleutelen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.
-
Het bericht wordt gecodeerd voordat het de client verlaat. De klant stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.
-
Het gecodeerde bericht wordt verzonden naar de nalevingsservice voor nalevingscontroles.
-
Het gecodeerde bericht wordt opgeslagen in de opslagrealm.
Wanneer u hybride databeveiliging implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de realms van Cisco.
Samenwerken met andere organisaties
Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, routeert uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS te krijgen en stuurt de sleutel vervolgens terug naar uw gebruiker op het oorspronkelijke kanaal.
De KMS-service die wordt uitgevoerd in organisatie A valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw implementatie voor hybride databeveiliging.
Verwachtingen voor het implementeren van hybride databeveiliging
Een implementatie van hybride databeveiliging vereist een aanzienlijke klantbetrokkenheid en een bewustzijn van de risico's van het bezit van coderingssleutels.
Als u hybride databeveiliging wilt implementeren, moet u het volgende opgeven:
-
Een beveiligd datacenter in een land dat een ondersteunde locatie is voor de Cisco Webex Teams-plannen.
-
De apparatuur, software en netwerktoegang die worden beschreven in Prepare Your Environment.
Volledig verlies van de configuratie-ISO die u maakt voor hybride databeveiliging of de database die u levert, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers inhoud van de ruimte en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar alleen nieuwe inhoud is zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:
-
De back-up en het herstel van de database en de configuratie-ISO beheren.
-
Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing in de databaseschijf of een ramp met het datacenter.
Er is geen mechanisme om sleutels na een HDS-implementatie terug naar de cloud te verplaatsen. |
Installatieproces op hoog niveau
Dit document behandelt het instellen en beheren van een implementatie voor hybride databeveiliging:
Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset gebruikers in de proefmodus en, zodra uw tests zijn voltooid, het verplaatsen naar productie. Hiermee wordt de hele organisatie geconverteerd om uw cluster voor hybride databeveiliging te gebruiken voor beveiligingsfuncties.
De installatie-, proef- en productiefasen worden in de volgende drie hoofdstukken in detail besproken.
-
Uw implementatie voor hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch voortdurende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig ondersteuning van Cisco inschakelen. U kunt meldingen op het scherm gebruiken en op e-mail gebaseerde waarschuwingen instellen in Control Hub.
-
Algemene waarschuwingen, stappen voor probleemoplossing en bekende problemen begrijpen: als u problemen ondervindt bij het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.
Implementatiemodel voor hybride databeveiliging
In uw bedrijfsdatacenter implementeert u hybride databeveiliging als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.
Tijdens het installatieproces bieden we u het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt monteert. Het cluster Hybride databeveiliging gebruikt de door u geleverde Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de details van de Syslogd- en databaseverbinding in de HDS-installatietool.)
Het minimumaantal knooppunten dat u in een cluster kunt hebben is twee. We raden ten minste drie aan en u kunt er maximaal vijf hebben. Het hebben van meerdere knooppunten zorgt ervoor dat de service niet wordt onderbroken tijdens een software-upgrade of andere onderhoudsactiviteit op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)
Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en logboekactiviteit op dezelfde syslog-server. De knooppunten zelf zijn stateloos, en behandelen belangrijke verzoeken in round-robin mode, zoals geregisseerd door de cloud.
Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt buiten gebruik wilt stellen, kunt u de registratie ongedaan maken en later opnieuw registreren, indien nodig.
We ondersteunen slechts één cluster per organisatie.
Proefmodus voor hybride databeveiliging
Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u dit eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.
Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de pilootgebruikers en alle gebruikers met wie ze tijdens de proefperiode interactie hebben gehad door nieuwe ruimten te maken, de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.
Als u ervan overtuigd bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilootgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, bijvoorbeeld om noodherstel uit te voeren, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilootgebruikers voor de nieuwe proefperiode instellen voordat u teruggaat naar de productiemodus. Of gebruikers op dit moment toegang tot gegevens behouden, hangt af van het feit of u back-ups van de sleutelgegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster hebt onderhouden.
Standby-datacenter voor noodherstel
Tijdens de implementatie stelt u een beveiligd stand-bydatacenter in. In het geval van een ramp met een datacenter kunt u uw implementatie handmatig overzetten naar het stand-bydatacenter.
De databases van de actieve en stand-by datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is om de failover uit te voeren, tot een minimum wordt beperkt. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten zijn geregistreerd bij de organisatie, maar geen verkeer afhandelen. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van de HDS-software.
De actieve knooppunten voor hybride databeveiliging moeten altijd in hetzelfde datacenter zijn als de actieve databaseserver. |
Standby-datacenter instellen voor noodherstel
Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:
Voordat u begint
-
Het stand-bydatacenter moet de productieomgeving van VM's en een back-up PostgreSQL- of Microsoft SQL Server-database weerspiegelen. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. (Zie Standby Data Center for Disaster Recovery voor een overzicht van dit failovermodel.)
-
Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database met actieve en passieve clusterknooppunten.
1 |
Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.
| ||
2 |
Klik na het configureren van de Syslogd-server op Geavanceerde instellingen | ||
3 |
Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar wordt er geen verkeer afgehandeld.
| ||
4 |
Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op. | ||
5 |
Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||
6 |
Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.. | ||
7 |
Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.
| ||
8 |
Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn. | ||
9 |
Herhaal het proces voor elk knooppunt in het stand-bydatacenter.
|
De volgende stappen
Nadat u de passiveMode
in het ISO-bestand hebt geconfigureerd en opgeslagen, kunt u een andere kopie van het ISO-bestand maken zonder de configuratie van de passiveMode
en deze op een veilige locatie opslaan. Deze kopie van het ISO-bestand zonder passiveMode
-configuratie kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met behulp van het stand-bydatacenter voor de gedetailleerde failoverprocedure.
Proxy ondersteuning
Hybride gegevensbeveiliging biedt ondersteuning voor expliciete, transparante inspectie en het niet-geïnspecteerde proxy's. U kunt deze proxy's koppelen aan uw implementatie zodat u verkeer van de onderneming kunt beveiligen en controleren naar de Cloud. U kunt een platformbeheer interface gebruiken op de knooppunten voor certificaatbeheer en de algehele verbindingsstatus controleren nadat u de proxy op de knooppunten hebt ingesteld.
De knooppunten voor hybride data beveiliging ondersteunen de volgende proxy opties:
-
Geen proxy: de standaardinstelling als u de configuratie Trust Store & Proxy van het HDS-knooppunt niet gebruikt om een proxy te integreren. Er is geen certificaat update vereist.
-
Transparante niet-inspecterende proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om met een niet-inspecterende proxy te werken. Er is geen certificaat update vereist.
-
Transparante tunneling of inspectie proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP-of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).
-
Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welke proxyserver en het verificatieschema moeten worden gebruikt. Als u een expliciete proxy wilt configureren, moet u op elk knooppunt de volgende informatie invoeren:
-
Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.
-
Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.
-
Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:
-
HTTP: alle aanvragen die de client verzendt, worden weergegeven en beheerd.
-
HTTPS: geeft een kanaal aan de server. De client ontvangt en valideert het certificaat van de server.
-
-
Verificatietype: kies uit de volgende verificatietypen:
-
Geen: er is geen verdere verificatie vereist.
Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.
-
Basis: gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt base64-codering.
Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.
Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.
-
Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.
Alleen beschikbaar als u HTTPS als proxy protocol selecteert.
Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.
-
-
Voorbeeld van knooppunten en proxy voor hybride data beveiliging
Dit diagram toont een voorbeeld van een verbinding tussen de hybride gegevensbeveiliging, het netwerk en een proxy. Voor de instellingen voor transparant inspecteren en HTTPS expliciet controleren, moeten dezelfde hoofdcertificaat op de proxy en op de knooppunten voor hybride data beveiliging worden geïnstalleerd.
Geblokkeerde externe DNS-omzettingsmodus (expliciete proxy configuraties)
Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. In implementaties met expliciete proxyconfiguraties die geen externe DNS-omzetting voor interne clients toestaan, als het knooppunt de DNS-servers niet kan opvragen, wordt de geblokkeerde externe DNS-omzettingsmodus automatisch ingeschakeld. In deze modus kan de registratie van knooppunten en andere proxy connectiviteitstests worden voortgezet.
Vereisten voor hybride databeveiliging
Vereisten voor Cisco Webex-licenties
Hybride databeveiliging implementeren:
-
U moet beschikken over het Pro-pakket voor Cisco Webex Control Hub. (Zie https://www.cisco.com/go/pro-pack.)
Vereisten voor Docker Desktop
Voordat u uw HDS-knooppunten installeert, hebt u Docker Desktop nodig om een installatieprogramma uit te voeren. Docker heeft onlangs het licentiemodel bijgewerkt. Uw organisatie kan een betaald abonnement voor Docker Desktop vereisen. Zie het Docker-blogbericht ' Docker is bezig ons productabonnement bij te werken en uit te breiden' voor meer informatie.
Vereisten voor X.509-certificaten
De certificaatketen moet aan de volgende vereisten voldoen:
Vereiste |
Details |
---|---|
|
Standaard vertrouwen we de CA’s in de Mozilla lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs. |
|
De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die uw organisatie weergeeft, bijvoorbeeld De algemene naam mag geen * (jokerteken) bevatten. De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren bij clients van de Webex-app. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden. Zodra u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat kan worden toegepast op zowel de proefperiode- als productie-implementaties. |
|
De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties. |
|
U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen. U moet het wachtwoord invoeren wanneer u de HDS-installatietool uitvoert. |
De KMS-software dwingt geen sleutelgebruik of uitgebreide beperkingen voor sleutelgebruik af. Sommige certificeringsinstanties vereisen dat uitgebreide belangrijke gebruiksbeperkingen worden toegepast op elk certificaat, zoals serververificatie. U mag de serververificatie of andere instellingen gebruiken.
Vereisten voor virtuele host
De virtuele hosts die u instelt als knooppunten voor hybride databeveiliging in uw cluster hebben de volgende vereisten:
-
Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich in hetzelfde beveiligde datacenter bevinden
-
VMware ESXi 6.5 (of hoger) geïnstalleerd en actief.
U moet upgraden als u een eerdere versie van ESXi hebt.
-
Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server
Vereisten voor databaseserver
Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. Wanneer de HDS-toepassingen zijn geïnstalleerd, maakt u het databaseschema. |
Er zijn twee opties voor databaseserver. De vereisten voor elk zijn als volgt:
PostgreSQL |
Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen) |
Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen) |
De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:
PostgreSQL |
Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 |
SQL JDBC-stuurprogramma van SQL Server 4.6 Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover Cluster Instances en Always On availability groups). |
Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server
Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:
-
De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.
-
Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees-/schrijftoegang hebben tot de database.
-
De DNS-servers die u aan HDS-knooppunten levert, moeten uw Key Distribution Center (KDC) kunnen oplossen.
-
U kunt de HDS-database-instantie op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een servicenaam registreren voor Kerberos-verbindingen.
De HDS-installatietool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens van uw ISO-configuratie om de SPN te construeren wanneer ze toegang aanvragen met Kerberos-verificatie.
Externe connectiviteitsvereisten
Configureer uw firewall om de volgende verbinding voor de HDS-toepassingen toe te staan:
Toepassing |
Protocol |
Poort |
Richting van app |
Bestemming |
---|---|---|---|---|
Knooppunten voor hybride databeveiliging |
TCP |
443 |
Uitgaande HTTPS en WSS |
|
Hulpprogramma voor HDS-instellingen |
TCP |
443 |
Uitgaande HTTPS |
|
De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die inkomend zijn naar de knooppunten voor hybride databeveiliging, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients voor beheerdoeleinden toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22. |
De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:
Regio |
Host-URL's van Common Identity |
---|---|
Amerika |
|
Europese Unie |
|
Canada |
|
Vereisten voor de proxy server
-
We ondersteunen de volgende proxy oplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride data beveiliging.
-
Transparante proxy: Cisco Web Security Appliance (WSA).
-
Expliciete proxy-pijlinktvis.
Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de vorming van websocket-verbindingen (wss:) verstoren. Zie Squid-proxy's configureren voor hybride databeveiliging voor meer informatie over dit probleem.
-
-
We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:
-
Geen verificatie met HTTP of HTTPS
-
Basisverificatie met HTTP of HTTPS
-
Alleen verificatiesamenvatting met HTTPS
-
-
Voor een transparante inspectie proxy of een HTTPS-expliciete proxy moet u een kopie van de hoofdcertificaat van de proxy hebben. De implementatie-instructies in deze handleiding geven aan hoe u de kopie kunt uploaden naar de vertrouwens archieven van de hybride Data Security-knooppunten.
-
Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 af te ronden via de proxy.
-
Proxy's die het webverkeer controleren, kunnen de WebSocket-verbindingen belemmeren. Als dit probleem zich voordoet, kunt u het probleem oplossen door het verkeer niet te controleren op
wbx2.com
enciscospark.com
.
Voldoen aan de vereisten voor hybride databeveiliging
1 |
Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en ontvang de referenties van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces. | ||
2 |
Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld | ||
3 |
Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt ten minste twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter zijn geplaatst en voldoen aan de vereisten in Vereisten voor virtuele host. | ||
4 |
Bereid de databaseserver voor die zal fungeren als de belangrijkste gegevensopslag voor het cluster, overeenkomstig de vereisten voor de databaseserver. De databaseserver moet samen met de virtuele hosts in het beveiligde datacenter worden geplaatst. | ||
5 |
Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. | ||
6 |
Stel een Syslog-host in om logboeken te verzamelen van de knooppunten in het cluster. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514). | ||
7 |
Maak een veilig back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.
Clients van de Webex-app brengen hun sleutels in de cache, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen niet te voorkomen zijn, kunnen ze worden hersteld. Volledig verlies (geen back-ups beschikbaar) van de database of het ISO-configuratiebestand leidt echter tot niet-herstelbare klantgegevens. Van de beheerders van de knooppunten voor hybride databeveiliging wordt verwacht dat ze regelmatig back-ups van de database en het configuratie-ISO-bestand onderhouden, en dat ze bereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als er een catastrofale storing optreedt. | ||
8 |
Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw hybride databeveiligingsknooppunten mogelijk maakt, zoals beschreven in Externe connectiviteitsvereisten. | ||
9 |
Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft tot het besturingssysteem op http://127.0.0.1:8080. U gebruikt het Docker-exemplaar om de HDS-installatietool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratie-informatie op voor alle knooppunten voor hybride databeveiliging. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker Desktop voor meer informatie. Om de HDS-setuptool te installeren en uit te voeren, moet de lokale machine de connectiviteit hebben die wordt beschreven in Externe connectiviteitsvereisten. | ||
10 |
Als u een proxy integreert met hybride databeveiliging, moet u ervoor zorgen dat deze voldoet aan de vereisten voor de proxyserver. | ||
11 |
Als uw organisatie adreslijstsynchronisatie gebruikt, maakt u een groep in Active Directory met de naam
|
Hybrid Data Security Deployment Task Flow
Voordat u begint
1 |
Download the OVA file to your local machine for later use. | ||
2 |
Create a Configuration ISO for the HDS Hosts Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes. | ||
3 |
Create a virtual machine from the OVA file and perform initial configuration, such as network settings.
| ||
4 |
Set up the Hybrid Data Security VM Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment. | ||
5 |
Upload and Mount the HDS Configuration ISO Configure the VM from the ISO configuration file that you created with the HDS Setup Tool. | ||
6 |
Configureer het HDS-knooppunt voor proxy-integratie If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed. | ||
7 |
Register the First Node in the Cluster Register the VM with the Cisco Webex cloud as a Hybrid Data Security node. | ||
8 |
Create and Register More Nodes Complete the cluster setup. | ||
9 |
Run a Trial and Move to Production (next chapter) Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated. |
Download Installation Files
1 |
Sign in to https://admin.webex.com, and then click Services. | ||||
2 |
In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up. If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.
| ||||
3 |
Select No to indicate that you haven’t set up the node yet, and then click Next. The OVA file automatically begins to download. Save the file to a location on your machine.
| ||||
4 |
Optionally, click Open Deployment Guide to check if there’s a later version of this guide available. |
Create a Configuration ISO for the HDS Hosts
The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.
Voordat u begint
-
De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Control Hub-account met volledige beheerdersrechten voor uw organisatie vereist.
If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:
Beschrijving
Variabele
HTTP-proxy zonder verificatie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy zonder verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy met verificatie
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy met verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:
-
Database credentials
-
Certificate updates
-
Changes to authorization policy
-
-
If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.
1 |
Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in: In normale omgevingen: In FedRAMP-omgevingen:
| ||||||||||||
2 |
Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in: | ||||||||||||
3 |
Voer bij de wachtwoordprompt deze hash in: | ||||||||||||
4 |
Download de nieuwste stabiele afbeelding voor uw omgeving: In normale omgevingen: In FedRAMP-omgevingen: | ||||||||||||
5 |
Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:
Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'. | ||||||||||||
6 |
Use a web browser to go to the localhost, The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt. | ||||||||||||
7 |
When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security. | ||||||||||||
8 |
On the Setup Tool overview page, click Get Started. | ||||||||||||
9 |
On the ISO Import page, you have these options:
| ||||||||||||
10 |
Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.
| ||||||||||||
11 |
Enter the database address and account for HDS to access your key datastore: | ||||||||||||
12 |
Select a TLS Database Connection Mode:
When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. De tool controleert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, wordt er een foutmelding weergegeven waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en doorgaan met de installatie. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.) | ||||||||||||
13 |
On the System Logs page, configure your Syslogd server: | ||||||||||||
14 |
(Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change: | ||||||||||||
15 |
Click Continue on the Reset Service Accounts Password screen. Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files. | ||||||||||||
16 |
Click Download ISO File. Save the file in a location that's easy to find. | ||||||||||||
17 |
Make a backup copy of the ISO file on your local system. Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes. | ||||||||||||
18 |
Als u de setuptool wilt afsluiten, typt u |
De volgende stappen
Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.
We never have a copy of this key and can't help if you lose it. |
Install the HDS Host OVA
1 |
Use the VMware vSphere client on your computer to log into the ESXi virtual host. | ||||||
2 |
Select File > Deploy OVF Template. | ||||||
3 |
In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next. | ||||||
4 |
On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next. | ||||||
5 |
On the Select a compute resource page, choose the destination compute resource, and then click Next. A validation check runs. After it finishes, the template details appear. | ||||||
6 |
Verify the template details and then click Next. | ||||||
7 |
If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next. | ||||||
8 |
On the Select storage page, click Next to accept the default disk format and VM storage policy. | ||||||
9 |
On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM. | ||||||
10 |
On the Customize template page, configure the following network settings:
If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.
| ||||||
11 |
Right-click the node VM, and then choose .The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node. Tips voor probleemoplossing You may experience a delay of a few minutes before the node containers come up. A bridge firewall message appears on the console during first boot, during which you can't sign in. |
Set up the Hybrid Data Security VM
Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.
1 |
In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab. The VM boots up and a login prompt appears. If the login prompt does not display, press Enter.
|
2 |
Use the following default login and password to sign in and change the credentials: Since you are signing in to your VM for the first time, you are required to change the administrator password. |
3 |
If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option. |
4 |
Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported. |
5 |
(Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy. You do not need to set the domain to match the domain that you used to obtain the X.509 certificate. |
6 |
Save the network configuration and reboot the VM so that the changes take effect. |
Upload and Mount the HDS Configuration ISO
Voordat u begint
Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.
1 |
Upload the ISO file from your computer: |
2 |
Mount the ISO file: |
De volgende stappen
If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.
Configureer het HDS-knooppunt voor proxy-integratie
Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride gegevensbeveiliging. Als u een transparante inspectering proxy of een HTTPS-expliciete proxy kiest, kunt u de interface van het knooppunt gebruiken om de hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding vanuit de interface controleren en mogelijke problemen oplossen.
Voordat u begint
-
See Proxy Support for an overview of the supported proxy options.
1 |
Voer de installatie-URL van het HDS-knooppunt |
2 |
Ga naar vertrouwens archieven voor vertrouwde proxyen kies een optie:
Volg de volgende stappen voor een transparante inspectie proxy, een HTTP Explicit-proxy met basisverificatie of een HTTPS-expliciete proxy. |
3 |
Klik op een hoofdcertificaat of eindentiteit certificaat uploadenen navigeer vervolgens naar een kies de hoofdcertificaat voor de proxy. Het certificaat is geüpload, maar is nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijlpunt punthaak op de naam van de certificaatuitgever voor meer informatie of klik op verwijderen Als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden. |
4 |
Klik op proxy verbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen. Als de verbindingstest mislukt, wordt er een foutbericht weergegeven met de reden en hoe u het probleem kunt oplossen. Als u een bericht ziet dat de externe DNS-omzetting niet is geslaagd, kan het knooppunt de DNS-server niet bereiken. Deze situatie wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de geblokkeerde externe DNS-omzettingsmodus. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode. |
5 |
Nadat de verbindingstest is geslaagd, voor expliciete proxy ingesteld op alleen https, schakelt u het in-/uitschakelen in om alle poort 443/444 HTTPS-aanvragen van dit knooppunt te routeren via de expliciete proxy. Deze instelling vereist 15 seconden om van kracht te worden. |
6 |
Klik op alle certificaten installeren in het vertrouwde archief (wordt weergegeven voor een HTTPS-expliciete proxy of een transparante inspectie proxy) of opnieuw opstarten (wordt weergegeven voor een http-expliciete proxy), lees de prompt en klik vervolgens op installeren Als u klaar bent. Het knooppunt wordt binnen een paar minuten opnieuw opgestart. |
7 |
Nadat het knooppunt opnieuw is opgestart, meldt u zich opnieuw aan indien nodig en opent u de overzichts pagina om te controleren of ze allemaal in de groene status zijn. De controle van de proxyverbinding test alleen een subdomein van webex.com. Als er problemen zijn met de verbinding, is een veelvoorkomend probleem dat sommige Cloud domeinen die worden vermeld in de installatie-instructies, worden geblokkeerd op de proxy. |
Register the First Node in the Cluster
When you register your first node, you create a cluster to which the node is assigned. A cluster contains one or more nodes deployed to provide redundancy.
Voordat u begint
-
Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.
-
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.
1 |
Meld u aan bij https://admin.webex.com. |
2 |
From the menu on the left side of the screen, select Services. |
3 |
In the Hybrid Services section, find Hybrid Data Security and click Set up. The Register Hybrid Data Security Node page appears.
|
4 |
Select Yes to indicate that you have set up the node and are ready to register it, and then click Next. |
5 |
In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node. We recommend that you name a cluster based on where the nodes of the cluster are located geographically. Examples: "San Francisco" or "New York" or "Dallas" |
6 |
In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM. A message appears indicating you can register your node to the Webex.
|
7 |
Click Go to Node. |
8 |
Click Continue in the warning message. After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
|
9 |
Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
|
10 |
Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.
|
Create and Register More Nodes
At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center. |
Voordat u begint
-
Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.
-
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.
1 |
Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA. |
2 |
Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM. |
3 |
On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO. |
4 |
If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node. |
5 |
Register the node. Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.
|
De volgende stappen
Doorstroom proefperiode naar productietaak
Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers toevoegen en deze gaan gebruiken om uw implementatie te testen en te verifiëren ter voorbereiding op de overgang naar productie.
Voordat u begint
1 |
Synchroniseer indien van toepassing het groepsobject Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u het groepsobject |
2 |
Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd. |
3 |
Uw implementatie voor hybride databeveiliging testen Controleer of belangrijke aanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging. |
4 |
Gezondheid van hybride databeveiliging controleren Controleer de status en stel e-mailmeldingen in voor alarmen. |
5 | |
6 |
Voltooi de onderzoeksfase met een van de volgende acties: |
Proefperiode activeren
Voordat u begint
Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u het groepsobject HdsTrialGroup
selecteren voor synchronisatie met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Voor instructies raadpleegt u de Implementatiehandleiding voor Cisco Directoryconnector.
1 |
Meld u aan bij https://admin.webex.com en selecteer Services. |
2 |
Klik onder Hybride databeveiliging op Instellingen. |
3 |
Klik in het gedeelte Servicestatus op Proefperiode starten. De servicestatus verandert in de proefmodus.
|
4 |
Klik op Gebruikers toevoegen en voer het e-mailadres van een of meer gebruikers in om uw knooppunten voor hybride databeveiliging te gebruiken voor codering- en indexeringsservices. (Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory om de proefgroep |
Uw implementatie voor hybride databeveiliging testen
Voordat u begint
-
Stel uw implementatie voor hybride databeveiliging in.
-
Activeer de proefperiode en voeg verschillende proefgebruikers toe.
-
Zorg ervoor dat u toegang hebt tot de syslog om te controleren of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.
1 |
Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilootgebruikers en maak vervolgens een ruimte en nodig ten minste één pilootgebruiker en één niet-pilootgebruiker uit.
| ||
2 |
Verzend berichten naar de nieuwe ruimte. | ||
3 |
Controleer de syslog-uitvoer om te controleren of de sleutelaanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging. |
Gezondheid van hybride databeveiliging controleren
1 |
Selecteer in Control HubServices in het menu links op het scherm. |
2 |
Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellingen. De pagina Instellingen voor hybride databeveiliging wordt weergegeven.
|
3 |
Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen gescheiden door komma's en druk op Enter. |
Gebruikers toevoegen aan of verwijderen uit uw proefperiode
Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker om sleutels en sleutels te maken vanuit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die is opgeslagen op uw KMS, zal de cloud-KMS deze namens de gebruiker ophalen.
Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep HdsTrialGroup
te beheren. U kunt de groepsleden weergeven in Control Hub, maar u kunt ze niet toevoegen of verwijderen.
1 |
Meld u aan bij Control Hub en selecteer Services. |
2 |
Klik onder Hybride databeveiliging op Instellingen. |
3 |
Klik in het gedeelte Proefmodus van het gebied Servicestatus op Gebruikers toevoegen of klik op weergeven en bewerken om gebruikers uit de proefperiode te verwijderen. |
4 |
Voer het e-mailadres in van een of meer gebruikers die u wilt toevoegen of klik op de X met een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan. |
Overstappen van proefperiode naar productie
1 |
Meld u aan bij Control Hub en selecteer Services. |
2 |
Klik onder Hybride databeveiliging op Instellingen. |
3 |
Klik in het gedeelte Servicestatus op Verplaatsen naar productie. |
4 |
Bevestig dat u al uw gebruikers naar de productie wilt verplaatsen. |
Uw proefperiode beëindigen zonder over te stappen naar productie
1 |
Meld u aan bij Control Hub en selecteer Services. |
2 |
Klik onder Hybride databeveiliging op Instellingen. |
3 |
Klik in het gedeelte Deactiveren op Deactiveren. |
4 |
Bevestig dat u de service wilt deactiveren en beëindig de proefperiode. |
HDS-implementatie beheren
Gebruik de taken die hier worden beschreven om uw implementatie voor hybride databeveiliging te beheren.
Upgradeschema voor cluster instellen
De upgradeplanning instellen:
1 |
Meld u aan Control Hub. |
2 |
Klik op de pagina Overzicht onder Hybride services op Hybride databeveiliging. |
3 |
Selecteer het cluster op de pagina Resources voor hybride databeveiliging. |
4 |
Selecteer in het deelvenster Overzicht aan de rechterkant onder Clusterinstellingen de clusternaam. |
5 |
Selecteer op de pagina Instellingen onder Upgraden de tijd en tijdzone voor het upgradeschema. Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen naar de volgende dag door op Uitstellen te klikken. |
De knooppuntconfiguratie wijzigen
-
X.509-certificaten wijzigen vanwege vervaldatum of andere redenen.
We ondersteunen het wijzigen van de CN-domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om de cluster te registreren.
-
Database-instellingen bijwerken om te wijzigen in een kopie van de PostgreSQL- of Microsoft SQL Server-database.
We ondersteunen het migreren van gegevens van PostgreSQL naar Microsoft SQL Server niet, of op de omgekeerde manier. Als u wilt schakelen tussen de databaseomgevingen, moet u een nieuwe implementatie van hybride databeveiliging starten.
-
Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.
Bovendien gebruikt Hybride databeveiliging voor beveiligingsdoeleinden wachtwoorden voor serviceaccounts die een levensduur van negen maanden hebben. Nadat de HDS-setuptool deze wachtwoorden heeft gegenereerd, implementeert u deze in uw HDS-knooppunten in het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een melding van het Webex-team om het wachtwoord voor uw machineaccount opnieuw in te stellen. (Het e-mailbericht bevat de tekst: 'Gebruik het machineaccount API om het wachtwoord bij te werken.') Als uw wachtwoord nog niet is verlopen, geeft de tool u twee opties:
-
Soft reset: de oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO-bestand op de knooppunten stapsgewijs te vervangen.
-
Harde reset: de oude wachtwoorden werken niet meer onmiddellijk.
Als uw wachtwoorden verlopen zonder opnieuw in te stellen, is dit van invloed op uw HDS-service, waarvoor onmiddellijke harde reset en vervanging van het ISO-bestand op alle knooppunten nodig is.
Gebruik deze procedure om een nieuw ISO-configuratiebestand te genereren en dit toe te passen op uw cluster.
Voordat u begint
-
De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Control Hub-account met volledige beheerdersrechten voor uw organisatie vereist.
Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container opent in 1.e. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:
Beschrijving
Variabele
HTTP-proxy zonder verificatie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy zonder verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy met verificatie
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy met verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel voor de versleuteling van PostgreSQL of Microsoft SQL Server-database. U hebt de ISO nodig wanneer u configuratiewijzigingen aan aanbrengen, waaronder databasereferenties, certificaatupdates of wijzigingen aan autorisatiebeleid.
1 |
Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt. |
2 |
Als er slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor het knooppunt voor hybride databeveiliging en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies. |
3 |
Voor bestaande HDS-knooppunten waar het oudere configuratiebestand op wordt uitgevoerd, moet u het ISO-bestand onder brengen. Voer de volgende procedure uit op elk knooppunt. Werk elk knooppunt bij voordat u het volgende knooppunt uit schakelen: |
4 |
Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen. |
Geblokkeerde externe DNS-omzettingsmodus uitschakelen
Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. Als de DNS-server van het knooppunt geen publieke DNS-namen kan omzetten, wordt het knooppunt automatisch in de geblokkeerde externe DNS-omzettingsmodus geplaatst.
Als uw knooppunten publieke DNS-namen kunnen omzetten via interne DNS-servers, kunt u deze modus uitschakelen door de proxy verbindingstest opnieuw uit te voeren op elk knooppunt.
Voordat u begint
1 |
Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/instellingen, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden. |
2 |
Ga naar overzicht (de standaardpagina). Indien ingeschakeld, wordt de geblokkeerde externe DNS-omzetting ingesteld op Ja. |
3 |
Ga naar de pagina vertrouwde winkel >-proxy . |
4 |
Klik op proxy verbinding controleren. Als er een bericht wordt weergegeven met de melding dat de externe DNS-omzetting niet is geslaagd, is het knooppunt niet in staat om de DNS-server te bereiken en blijft deze in deze modus. Anders moet de geblokkeerde externe DNS-omzetting worden ingesteld op Nee als u het knooppunt opnieuw hebt opgestart en teruggaat naar de overzichtspagina. |
De volgende stappen
Een knooppunt verwijderen
1 |
Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en de virtuele machine uit te schakelen. |
2 |
Verwijder het knooppunt: |
3 |
Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.) Als u de VM niet verwijdert, moet u het ISO-configuratiebestand loskoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken om toegang te krijgen tot uw beveiligingsgegevens. |
Noodherstel met behulp van het stand-bydatacenter
De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt voor het coderen van berichten en andere inhoud die in de Webex-cloud is opgeslagen. Voor elke gebruiker binnen de organisatie die is toegewezen aan hybride databeveiliging, worden nieuwe aanvragen voor het maken van sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de sleutels die zijn gemaakt aan gebruikers die bevoegd zijn om ze op te halen, bijvoorbeeld leden van een gespreksruimte.
Omdat het cluster de kritieke functie van het leveren van deze sleutels vervult, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden behouden. Verlies van de database met hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van inhoud van de klant. De volgende praktijken zijn verplicht om een dergelijk verlies te voorkomen:
Als door een calamiteit de HDS-implementatie in het primaire datacenter niet meer beschikbaar is, volgt u deze procedure om handmatig te failover te gaan naar het stand-bydatacenter.
1 |
Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts. | ||
2 |
Klik na het configureren van de Syslogd-server op Geavanceerde instellingen | ||
3 |
Op de pagina Geavanceerde instellingen voegt u de onderstaande configuratie toe of verwijdert u de configuratie
| ||
4 |
Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op. | ||
5 |
Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||
6 |
Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.. | ||
7 |
Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.
| ||
8 |
Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn. | ||
9 |
Herhaal het proces voor elk knooppunt in het stand-bydatacenter.
|
De volgende stappen
(Optioneel) ISO loskoppelen na HDS-configuratie
De standaard HDS-configuratie wordt uitgevoerd met de ISO gemonteerd. Maar sommige klanten geven er de voorkeur aan ISO-bestanden niet continu gemonteerd achter te laten. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.
U gebruikt de ISO-bestanden nog steeds om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de installatietool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra al uw knooppunten de configuratiewijzigingen hebben overgenomen, kunt u de ISO opnieuw loskoppelen met deze procedure.
Voordat u begint
Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.
1 |
Sluit een van uw HDS-knooppunten af. |
2 |
Selecteer het HDS-knooppunt in het vCenter-serverapparaat. |
3 |
Kies Datastore ISO File uit. en schakel |
4 |
Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 20 minuten geen alarmen zijn. |
5 |
Herhaal dit om de beurt voor elk HDS-knooppunt. |
Waarschuwingen en problemen weergeven
Een implementatie voor hybride databeveiliging wordt als onbeschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als het cluster zo langzaam werkt dat er een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:
-
Nieuwe ruimten kunnen niet worden gemaakt (kan geen nieuwe sleutels maken)
-
Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:
-
Nieuwe gebruikers toegevoegd aan een ruimte (kan geen toetsen ophalen)
-
Bestaande gebruikers in een ruimte met een nieuwe client (kan geen sleutels ophalen)
-
-
Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben
Het is belangrijk dat u uw cluster voor hybride databeveiliging goed bewaakt en alle waarschuwingen onmiddellijk aanpakt om onderbrekingen van de service te voorkomen.
Waarschuwingen
Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen aan de organisatiebeheerder weer en worden e-mails naar het geconfigureerde e-mailadres verzonden. De waarschuwingen behandelen veel voorkomende scenario's.
Waarschuwing |
Actie |
---|---|
Lokale databasetoegang mislukt. |
Controleer op databasefouten of problemen met het lokale netwerk. |
Lokale databaseverbinding mislukt. |
Controleer of de databaseserver beschikbaar is en of de juiste serviceaccountgegevens zijn gebruikt in de knooppuntconfiguratie. |
Toegang tot cloudservice mislukt. |
Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Externe verbindingsvereisten. |
Cloudserviceregistratie vernieuwen. |
Registratie bij cloudservices is geschrapt. De registratie wordt vernieuwd. |
Registratie van cloudservice is verbroken. |
Registratie voor cloudservices is beëindigd. De service wordt afgesloten. |
Service nog niet geactiveerd. |
Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie. |
Het geconfigureerde domein komt niet overeen met het servercertificaat. |
Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein. De meest waarschijnlijke oorzaak is dat de CN van het certificaat onlangs is gewijzigd en nu verschilt van de CN die tijdens de eerste installatie is gebruikt. |
Kan niet verifiëren bij cloudservices. |
Controleer of de gegevens van het serviceaccount correct zijn en mogelijk verlopen. |
Kan lokaal keystore-bestand niet openen. |
Controleer op integriteit en nauwkeurigheid van het wachtwoord in het lokale keystore-bestand. |
Lokaal servercertificaat is ongeldig. |
Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie. |
Kan statistieken niet plaatsen. |
Controleer de toegang van het lokale netwerk tot externe cloudservices. |
/media/configdrive/hds directory bestaat niet. |
Controleer de ISO-montageconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om opnieuw op te starten en of het met succes wordt geïnstalleerd. |
Problemen met hybride databeveiliging oplossen
1 |
Controleer Control Hub op waarschuwingen en los alle items op die u daar vindt. |
2 |
Controleer de uitvoer van de syslog-server voor activiteit vanuit de implementatie voor hybride databeveiliging. |
3 |
Neem contact op met de Cisco-ondersteuning. |
Bekende problemen voor hybride databeveiliging
-
Als u uw cluster voor hybride databeveiliging afsluit (door het te verwijderen in Control Hub of door alle knooppunten af te sluiten), uw configuratie-ISO-bestand verliest of toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst met personen die zijn gemaakt met toetsen van uw KMS. Dit geldt zowel voor proefperioden als voor productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en dringen er bij u op aan om uw HDS-services niet af te sluiten zodra ze actieve gebruikersaccounts afhandelen.
-
Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een periode (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefperiode voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken tot er een time-out optreedt. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact opneemt voor coderingssleutels.
Hetzelfde gedrag treedt op wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle niet-proefgebruikers met bestaande ECDH-verbindingen met de vorige gegevensbeveiligingsservices blijven deze services gebruiken totdat er opnieuw wordt onderhandeld over de ECDH-verbinding (via time-out of door afmelden en weer aanmelden).
OpenSSL gebruiken om een PKCS12-bestand te genereren
Voordat u begint
-
OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS-installatietool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten niet op de een of andere manier.
-
Als u ervoor kiest om OpenSSL te gebruiken, bieden we deze procedure aan als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.
-
Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.
-
Maak een privésleutel.
-
Start deze procedure wanneer u het servercertificaat ontvangt van uw certificeringsinstantie (CA).
1 |
Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als |
2 |
Geef het certificaat weer als tekst en controleer de details.
|
3 |
Gebruik een tekstverwerker om een certificaatbundelbestand te maken met de naam
|
4 |
Maak het .p12-bestand met de vriendelijke naam
|
5 |
Controleer de gegevens van het servercertificaat. |
De volgende stappen
Ga terug naar Vereisten voor hybride databeveiliging voltooien. U gebruikt het bestand hdsnode.p12
en het wachtwoord dat u ervoor hebt ingesteld in Een configuratie-ISO maken voor de HDS-hosts.
U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt. |
Verkeer tussen de HDS-knooppunten en de cloud
Verkeer voor verzameling uitgaande statistieken
De knooppunten voor hybride databeveiliging sturen bepaalde statistieken naar de Webex-cloud. Dit zijn onder andere systeemstatistieken voor de maximale heap, gebruikte heap, CPU-belasting en draadtelling; statistieken over synchrone en asynchrone threads; statistieken over waarschuwingen met een drempelwaarde voor coderingsverbindingen, latentie of de lengte van een aanvraagwachtrij; statistieken over de gegevensopslag; en coderingsverbindingsstatistieken. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (gescheiden van het verzoekkanaal).
Inkomend verkeer
De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer vanuit de Webex-cloud:
-
Coderingsverzoeken van clients die door de coderingsservice worden gerouteerd
-
Upgrades naar de knooppuntsoftware
Het configureren van inktvis-Proxy's voor hybride data beveiliging
WebSocket kan geen verbinding maken via de inktvis-proxy
Squid-proxy's die HTTPS-verkeer inspecteren, kunnen interfereren met het tot stand brengen van websocket-verbindingen (wss:
) die Hybride databeveiliging vereist. Deze secties bevatten leidraden voor het configureren van verschillende versies van inktvis om WSS te negeren:
verkeer voor de juiste werking van de services.
Pijlinktvis 4 en 5
Voeg de on_unsupported_protocol
richtlijn toe aan squid.conf
:
on_unsupported_protocol tunnel alle
Inktvis 3.5.27
De hybride gegevensbeveiliging is getest met de volgende regels die zijn toegevoegd aan inktvis. conf
. Deze regels kunnen worden gewijzigd wanneer we functies ontwikkelen en de Webex Cloud bijwerken.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all
Nieuwe en gewijzigde informatie
Datum | Aangebrachte wijzigingen | ||
---|---|---|---|
20 oktober 2023 |
| ||
07 augustus 2023 |
| ||
23 mei 2023 |
| ||
06 december 2022 |
| ||
23 november 2022 |
| ||
13 oktober 2021 | Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker Desktop. | ||
24 juni 2021 | U kunt het bestand met de privésleutel en de CSR opnieuw gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie. | ||
30 april 2021 | De VM-vereiste voor lokale harde schijfruimte is gewijzigd in 30 GB. Zie Vereisten voor virtuele host voor meer informatie. | ||
24 februari 2021 | De HDS-installatietool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO maken voor de HDS-hosts voor meer informatie. | ||
2 februari 2021 | HDS kan nu worden uitgevoerd zonder een gemonteerd ISO-bestand. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie. | ||
11 januari 2021 | Informatie toegevoegd over het hulpprogramma HDS-instellingen en proxy's om een configuratie-ISO voor de HDS-hosts te maken. | ||
13 oktober 2020 | Bijgewerkte Installatiebestanden downloaden. | ||
8 oktober 2020 | Configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt. | ||
14 augustus 2020 | De configuratie-ISO voor de HDS-hosts maken en de knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces. | ||
5 augustus 2020 | Bijgewerkte Test uw implementatie voor hybride databeveiliging voor wijzigingen in logboekberichten. De vereisten voor de virtuele host zijn bijgewerkt om het maximale aantal hosts te verwijderen. | ||
16 juni 2020 | Bijgewerkt Een knooppunt verwijderen voor wijzigingen in de gebruikersinterface van Control Hub. | ||
4 juni 2020 | De ISO voor configuratie maken voor de HDS-hosts is bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk hebt ingesteld. | ||
29 mei 2020 | Bijgewerkt: maak een configuratie-ISO voor de HDS-hosts om aan te geven dat u ook TLS kunt gebruiken met SQL Server-databases, gebruikersgebruikerswijzigingen en andere verduidelijkingen. | ||
5 mei 2020 | De vereisten voor de virtuele host zijn bijgewerkt om de nieuwe vereisten voor ESXi 6.5 weer te geven. | ||
21 april 2020 | Bijgewerkte Externe connectiviteitsvereisten met nieuwe Americas CI-hosts. | ||
1 april 2020 | Bijgewerkte Externe connectiviteitsvereisten met informatie over regionale CI-hosts. | ||
20 februari 2020 | Bijgewerkte ISO voor configuratie maken voor de HDS-hosts met informatie over het nieuwe optionele scherm Geavanceerde instellingen in de HDS-installatietool. | ||
4 februari 2020 | Proxyserververeisten bijgewerkt. | ||
16 december 2019 | De vereiste voor geblokkeerde externe DNS-resolutiemodus is verduidelijkt om te werken in de vereisten voor de proxyserver. | ||
19 november 2019 | Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende gedeelten: | ||
8 november 2019 | U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van erna. De volgende gedeelten zijn dienovereenkomstig bijgewerkt:
| ||
6 september 2019 | Standaard SQL-server toegevoegd aan vereisten voor databaseserver. | ||
29 augustus 2019 | Bijlage Squid-proxy's configureren voor hybride databeveiliging toegevoegd met richtlijnen voor het configureren van squid-proxy's om websocketverkeer te negeren voor een goede werking. | ||
20 augustus 2019 | Er zijn gedeelten toegevoegd en bijgewerkt voor proxyondersteuning voor communicatie van knooppunten voor hybride databeveiliging naar de Webex-cloud. Zie het Help-artikel Proxy-ondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie. | ||
13 juni 2019 | Bijgewerkte Trial to Production Task Flow met een herinnering om de HdsTrialGroup groepsobject voordat een proefperiode wordt gestart als uw organisatie adreslijstsynchronisatie gebruikt. | ||
6 maart 2019 |
| ||
28 februari 2019 |
| ||
26 februari 2019 |
| ||
24 januari 2019 |
| ||
5 november 2018 |
| ||
19 oktober 2018 |
| ||
31 juli 2018 |
| ||
21 mei 2018 | Gewijzigde terminologie om de rebranding van Cisco Spark weer te geven:
| ||
11 april 2018 |
| ||
22 februari 2018 |
| ||
15 februari 2018 |
| ||
18 januari 2018 |
| ||
2 november 2017 |
| ||
18 augustus 2017 | Voor het eerst gepubliceerd |
Overzicht van hybride databeveiliging
Vanaf dag één is gegevensbeveiliging de belangrijkste focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end-inhoudcodering, ingeschakeld door clients van de Webex-app die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografische sleutels die clients gebruiken om berichten en bestanden dynamisch te versleutelen en te decoderen.
Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride databeveiliging verplaatst de KMS en andere beveiligingsgerelateerde functies naar uw bedrijfsdatacenter, dus niemand anders dan u heeft de sleutels voor uw gecodeerde inhoud.
Architectuur beveiligingsgebied
De Webex-cloudarchitectuur scheidt verschillende soorten service in afzonderlijke realms of vertrouwensdomeinen, zoals hieronder wordt weergegeven.
Laten we eerst eens kijken naar deze zuivere cloudcase, waarin Cisco alle functies in zijn clouddomeinen aanbiedt om meer inzicht te krijgen in hybride databeveiliging. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks kunnen worden gecorreleerd met hun persoonlijke informatie zoals e-mailadres, is logisch en fysiek gescheiden van de beveiligingsrealm in datacenter B. Beide zijn op hun beurt gescheiden van de realm waar versleutelde inhoud uiteindelijk wordt opgeslagen, in datacenter C.
In dit diagram is de client de Webex-app die wordt uitgevoerd op de laptop van een gebruiker en is deze geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:
De client maakt een veilige verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel om het bericht te versleutelen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.
Het bericht wordt gecodeerd voordat het de client verlaat. De klant stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.
Het gecodeerde bericht wordt verzonden naar de nalevingsservice voor nalevingscontroles.
Het gecodeerde bericht wordt opgeslagen in de opslagrealm.
Wanneer u hybride databeveiliging implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de realms van Cisco.
Samenwerken met andere organisaties
Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, routeert uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS te krijgen en stuurt de sleutel vervolgens terug naar uw gebruiker op het oorspronkelijke kanaal.
De KMS-service die wordt uitgevoerd in organisatie A valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw implementatie voor hybride databeveiliging.
Verwachtingen voor het implementeren van hybride databeveiliging
Een implementatie van hybride databeveiliging vereist een aanzienlijke klantbetrokkenheid en een bewustzijn van de risico's van het bezit van coderingssleutels.
Als u hybride databeveiliging wilt implementeren, moet u het volgende opgeven:
Een beveiligd datacenter in een land dat een ondersteunde locatie is voor de Cisco Webex Teams-plannen.
De apparatuur, software en netwerktoegang die worden beschreven in Prepare Your Environment.
Volledig verlies van de configuratie-ISO die u maakt voor hybride databeveiliging of de database die u levert, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers inhoud van de ruimte en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar alleen nieuwe inhoud is zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:
De back-up en het herstel van de database en de configuratie-ISO beheren.
Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing in de databaseschijf of een ramp met het datacenter.
Er is geen mechanisme om sleutels na een HDS-implementatie terug naar de cloud te verplaatsen. |
Installatieproces op hoog niveau
Dit document behandelt het instellen en beheren van een implementatie voor hybride databeveiliging:
Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset gebruikers in de proefmodus en, zodra uw tests zijn voltooid, het verplaatsen naar productie. Hiermee wordt de hele organisatie geconverteerd om uw cluster voor hybride databeveiliging te gebruiken voor beveiligingsfuncties.
De installatie-, proef- en productiefasen worden in de volgende drie hoofdstukken in detail besproken.
Uw implementatie voor hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch voortdurende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig ondersteuning van Cisco inschakelen. U kunt meldingen op het scherm gebruiken en op e-mail gebaseerde waarschuwingen instellen in Control Hub.
Algemene waarschuwingen, stappen voor probleemoplossing en bekende problemen begrijpen: als u problemen ondervindt bij het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.
Implementatiemodel voor hybride databeveiliging
In uw bedrijfsdatacenter implementeert u hybride databeveiliging als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.
Tijdens het installatieproces bieden we u het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt monteert. Het cluster Hybride databeveiliging gebruikt de door u geleverde Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de details van de Syslogd- en databaseverbinding in de HDS-installatietool.)
Het minimumaantal knooppunten dat u in een cluster kunt hebben is twee. We raden ten minste drie aan en u kunt er maximaal vijf hebben. Als u meerdere knooppunten hebt, wordt de service niet onderbroken tijdens een software-upgrade of andere onderhoudsactiviteit op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)
Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en logboekactiviteit op dezelfde syslog-server. De knooppunten zelf zijn stateloos, en behandelen belangrijke verzoeken in round-robin mode, zoals geregisseerd door de cloud.
Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt buiten gebruik wilt stellen, kunt u de registratie ongedaan maken en later opnieuw registreren, indien nodig.
We ondersteunen slechts één cluster per organisatie.
Proefmodus voor hybride databeveiliging
Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u dit eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw domein voor hybride databeveiliging op locatie voor coderingssleutels en andere services voor beveiligingsdomeinen. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.
Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de pilootgebruikers en alle gebruikers met wie ze tijdens de proefperiode interactie hebben gehad door nieuwe ruimten te maken, de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.
Als u ervan overtuigd bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilootgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, bijvoorbeeld om noodherstel uit te voeren, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilootgebruikers voor de nieuwe proefperiode instellen voordat u teruggaat naar de productiemodus. Of gebruikers op dit moment toegang tot gegevens behouden, hangt af van het feit of u back-ups van de sleutelgegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster hebt onderhouden.
Standby-datacenter voor noodherstel
Tijdens de implementatie stelt u een beveiligd stand-bydatacenter in. In het geval van een ramp met een datacenter kunt u uw implementatie handmatig overzetten naar het stand-bydatacenter.
De databases van de actieve en stand-by datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is om de failover uit te voeren, tot een minimum wordt beperkt. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten zijn geregistreerd bij de organisatie, maar geen verkeer afhandelen. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van de HDS-software.
De actieve knooppunten voor hybride databeveiliging moeten altijd in hetzelfde datacenter zijn als de actieve databaseserver. |
Standby-datacenter instellen voor noodherstel
Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:
Voordat u begint
Het stand-bydatacenter moet de productieomgeving van VM's en een back-up PostgreSQL- of Microsoft SQL Server-database weerspiegelen. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. (Zie Standby Data Center for Disaster Recovery voor een overzicht van dit failovermodel.)
Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database met actieve en passieve clusterknooppunten.
1 | Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts.
| ||
2 | Klik na het configureren van de Syslogd-server op Geavanceerde instellingen | ||
3 | Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar wordt er geen verkeer afgehandeld.
| ||
4 | Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op. | ||
5 | Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||
6 | Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.. | ||
7 | Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.
| ||
8 | Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn. | ||
9 | Herhaal het proces voor elk knooppunt in het stand-bydatacenter.
|
De volgende stappen
Na het configureren passiveMode
in het ISO-bestand en opslaan, kunt u een andere kopie van het ISO-bestand maken zonder de passiveMode
configureren en opslaan op een veilige locatie. Deze kopie van het ISO-bestand zonder passiveMode
geconfigureerd kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met behulp van het stand-bydatacenter voor de gedetailleerde failoverprocedure.
Proxyondersteuning
Hybride databeveiliging ondersteunt expliciete, transparante en niet-inspecterende proxy's. U kunt deze proxy's aan uw implementatie koppelen zodat u het verkeer van de onderneming naar de cloud kunt beveiligen en bewaken. U kunt een platformbeheerinterface op de knooppunten gebruiken voor certificaatbeheer en om de algehele verbindingsstatus te controleren nadat u de proxy op de knooppunten hebt ingesteld.
De knooppunten voor hybride databeveiliging ondersteunen de volgende proxyopties:
Geen proxy: de standaardinstelling als u de HDS-knooppuntconfiguratie Vertrouwensarchief en proxy niet gebruikt om een proxy te integreren. Er is geen certificaatupdate vereist.
Transparante niet-inspecterende proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaatupdate vereist.
Transparante tunneling of inspectie van proxy: de knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP- of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een basiscertificaat nodig zodat ze de proxy vertrouwen. Het inspecteren van proxy's wordt doorgaans door IT gebruikt om beleidslijnen af te dwingen waarop websites kunnen worden bezocht en welke soorten inhoud niet zijn toegestaan. Dit type proxy decodeert al uw verkeer (zelfs HTTPS).
Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welk proxyserver- en verificatieschema u moet gebruiken. Als u een expliciete proxy wilt configureren, moet u de volgende informatie op elk knooppunt invoeren:
Proxy-IP/FQDN: adres dat kan worden gebruikt om de proxymachine te bereiken.
Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar verkeer met proxy's.
Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:
HTTP: geeft alle verzoeken weer die de client verzendt en beheert deze.
HTTPS: biedt een kanaal naar de server. De client ontvangt het servercertificaat en valideert het.
Verificatietype: kies uit de volgende verificatietypen:
Geen: er is geen verdere verificatie vereist.
Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.
Basis: wordt gebruikt voor een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het maken van een aanvraag. Gebruikt Base64-codering.
Beschikbaar als u HTTP of HTTPS als proxyprotocol selecteert.
Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.
Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord alvorens te verzenden via het netwerk.
Alleen beschikbaar als u HTTPS selecteert als proxyprotocol.
Vereist dat u de gebruikersnaam en het wachtwoord op elk knooppunt invoert.
Voorbeeld van knooppunten voor hybride databeveiliging en proxy
In dit diagram ziet u een voorbeeldverbinding tussen hybride databeveiliging, netwerk en een proxy. Voor de opties voor transparante inspectie en HTTPS expliciete inspectie proxy moet hetzelfde hoofdcertificaat worden geïnstalleerd op de proxy en op de knooppunten voor hybride databeveiliging.
Geblokkeerde externe DNS-resolutiemodus (expliciete proxyconfiguraties)
Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. In implementaties met expliciete proxyconfiguraties die geen externe DNS-resolutie voor interne clients toestaan, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie als het knooppunt de DNS-servers niet kan opvragen. In deze modus kunnen knooppuntregistratie en andere proxyverbindingstests worden voortgezet.
Vereisten voor hybride databeveiliging
Vereisten voor Cisco Webex-licenties
Hybride databeveiliging implementeren:
U moet beschikken over het Pro-pakket voor Cisco Webex Control Hub. (Zie https://www.cisco.com/go/pro-pack.)
Vereisten voor Docker Desktop
Voordat u uw HDS-knooppunten installeert, hebt u Docker Desktop nodig om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie vereist mogelijk een betaald abonnement voor Docker Desktop. Zie voor meer informatie de blogpost van Docker, "Docker is Updating and Extending Our Product Subscriptions" (Docker werkt onze productabonnementen bij en verlengt ze).
Vereisten voor X.509-certificaten
De certificaatketen moet aan de volgende vereisten voldoen:
Vereiste | Details |
---|---|
| Standaard vertrouwen we de CA’s in de Mozilla lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs. |
| De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die uw organisatie weergeeft, bijvoorbeeld: De algemene naam mag geen * (jokerteken) bevatten. De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren bij clients van de Webex-app. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden. Zodra u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat kan worden toegepast op zowel de proefperiode- als productie-implementaties. |
| De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties. |
| U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen. U moet het wachtwoord invoeren wanneer u de HDS-installatietool uitvoert. |
De KMS-software dwingt sleutelgebruik of uitgebreide beperkingen voor sleutelgebruik niet af. Sommige certificeringsinstanties vereisen dat uitgebreide belangrijke gebruiksbeperkingen worden toegepast op elk certificaat, zoals serververificatie. U mag de serververificatie of andere instellingen gebruiken.
Vereisten voor virtuele host
De virtuele hosts die u instelt als knooppunten voor hybride databeveiliging in uw cluster, hebben de volgende vereisten:
Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich in hetzelfde beveiligde datacenter bevinden
VMware ESXi 6.5 (of hoger) geïnstalleerd en actief.
U moet upgraden als u een eerdere versie van ESXi hebt.
Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server
Vereisten voor databaseserver
Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. Wanneer de HDS-toepassingen zijn geïnstalleerd, maakt u het databaseschema. |
Er zijn twee opties voor databaseserver. De vereisten voor elk zijn als volgt:
PostgreSQL | Microsoft SQL-server | ||
---|---|---|---|
|
| ||
Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen) | Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat deze niet wordt overschreden (2-TB aanbevolen als u de database voor een lange tijd wilt uitvoeren zonder de opslag te verhogen) |
De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:
PostgreSQL | Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 | SQL JDBC-stuurprogramma van SQL Server 4.6 Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover Cluster Instances en Always On availability groups). |
Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server
Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:
De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.
Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees-/schrijftoegang hebben tot de database.
De DNS-servers die u aan HDS-knooppunten levert, moeten uw Key Distribution Center (KDC) kunnen oplossen.
U kunt de HDS-database-instantie op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een servicenaam registreren voor Kerberos-verbindingen.
De HDS-installatietool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens van uw ISO-configuratie om de SPN te construeren wanneer ze toegang aanvragen met Kerberos-verificatie.
Externe connectiviteitsvereisten
Configureer uw firewall om de volgende verbinding voor de HDS-toepassingen toe te staan:
App | Protocol | Poort | Richting van app | Bestemming |
---|---|---|---|---|
Knooppunten voor hybride databeveiliging | TCP | 443 | Uitgaande HTTPS en WSS |
|
Hulpprogramma voor HDS-instellingen | TCP | 443 | Uitgaande HTTPS |
|
De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die inkomend zijn naar de knooppunten voor hybride databeveiliging, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients voor beheerdoeleinden toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22. |
De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:
Regio | Host-URL's van Common Identity |
---|---|
Amerika |
|
Europese Unie |
|
Canada |
|
Vereisten voor proxyserver
We ondersteunen officieel de volgende proxyoplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride databeveiliging.
Transparante proxy: Cisco Web Security Appliance (WSA).
Expliciete proxy: Squid.
Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de oprichting van websocket verstoren (wss:) verbindingen. Zie Squid-proxy's configureren voor hybride databeveiliging voor meer informatie over dit probleem.
We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:
Geen verificatie met HTTP of HTTPS
Basisverificatie met HTTP of HTTPS
Digestverificatie met alleen HTTPS
Voor een transparante inspecterende proxy of een expliciete HTTPS-proxy moet u een kopie hebben van het hoofdcertificaat van de proxy. De implementatie-instructies in deze handleiding vertellen u hoe u de kopie kunt uploaden naar de vertrouwensarchieven van de knooppunten voor hybride databeveiliging.
Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 te dwingen via de proxy te routeren.
Proxy's die het webverkeer inspecteren, kunnen interfereren met websocketverbindingen. Indien dit probleem zich voordoet, verkeer overslaan (niet inspecteren) naar
wbx2.com
enciscospark.com
zal het probleem oplossen.
Voldoen aan de vereisten voor hybride databeveiliging
1 | Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en ontvang de referenties van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces. | ||
2 | Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld | ||
3 | Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt ten minste twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter zijn geplaatst en voldoen aan de vereisten in Vereisten voor virtuele host. | ||
4 | Bereid de databaseserver voor die zal fungeren als de belangrijkste gegevensopslag voor het cluster, overeenkomstig de vereisten voor de databaseserver. De databaseserver moet samen met de virtuele hosts in het beveiligde datacenter worden geplaatst. | ||
5 | Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft met HDS-knooppunten, moet de back-upomgeving 3 VM's hebben. | ||
6 | Stel een Syslog-host in om logboeken te verzamelen van de knooppunten in het cluster. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514). | ||
7 | Maak een veilig back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.
Clients van de Webex-app brengen hun sleutels in de cache, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen niet te voorkomen zijn, kunnen ze worden hersteld. Volledig verlies (geen back-ups beschikbaar) van de database of het ISO-configuratiebestand leidt echter tot niet-herstelbare klantgegevens. Van de beheerders van de knooppunten voor hybride databeveiliging wordt verwacht dat ze regelmatig back-ups van de database en het configuratie-ISO-bestand onderhouden, en dat ze bereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als er een catastrofale storing optreedt. | ||
8 | Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw hybride databeveiligingsknooppunten mogelijk maakt, zoals beschreven in Externe connectiviteitsvereisten. | ||
9 | Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft tot het besturingssysteem op http://127.0.0.1:8080. U gebruikt het Docker-exemplaar om de HDS-installatietool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratie-informatie op voor alle knooppunten voor hybride databeveiliging. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker Desktop voor meer informatie. Om de HDS-setuptool te installeren en uit te voeren, moet de lokale machine de connectiviteit hebben die wordt beschreven in Externe connectiviteitsvereisten. | ||
10 | Als u een proxy integreert met hybride databeveiliging, moet u ervoor zorgen dat deze voldoet aan de vereisten voor de proxyserver. | ||
11 | Als uw organisatie adreslijstsynchronisatie gebruikt, maakt u een groep in Active Directory met de naam
|
Taakstroom implementatie hybride databeveiliging
Voordat u begint
1 | Installatiebestanden downloaden Download het OVA-bestand naar uw lokale computer voor later gebruik. | ||
2 | Een configuratie-ISO maken voor de HDS-hosts Gebruik de HDS-installatietool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging. | ||
3 |
Maak een virtuele machine vanuit het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.
| ||
4 | De VM voor hybride databeveiliging instellen Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd ten tijde van de OVA-implementatie. | ||
5 | De HDS-configuratie-ISO uploaden en koppelen Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-installatietool. | ||
6 | Het HDS-knooppunt configureren voor proxyintegratie Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u indien nodig het proxycertificaat toe aan het vertrouwensarchief. | ||
7 | Het eerste knooppunt in het cluster registreren Registreer de VM bij de Cisco Webex-cloud als een knooppunt voor hybride databeveiliging. | ||
8 | Meer knooppunten maken en registreren Voltooi de clusterinstelling. | ||
9 | Een proefperiode uitvoeren en overgaan naar productie (volgende hoofdstuk) Totdat u een proefperiode start, genereren uw knooppunten een alarm dat aangeeft dat uw service nog niet is geactiveerd. |
Installatiebestanden downloaden
1 | Meld u aan bij https://admin.webex.com en klik vervolgens op Services. | ||||
2 | Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik vervolgens op Instellen. Als de kaart is uitgeschakeld of u deze niet ziet, neemt u contact op met uw accountteam of uw partnerorganisatie. Geef uw accountnummer en vraag of u uw organisatie wilt inschakelen voor hybride databeveiliging. Als u het accountnummer wilt vinden, klikt u op het tandwiel rechtsboven naast de naam van uw organisatie.
| ||||
3 | Selecteer Nee om aan te geven dat u het knooppunt nog niet hebt ingesteld en klik vervolgens op Volgende. Het OVA-bestand begint automatisch te downloaden. Sla het bestand op een locatie op uw computer op.
| ||||
4 | U kunt ook op Implementatiehandleiding openen klikken om te controleren of er een latere versie van deze handleiding beschikbaar is. |
Een configuratie-ISO maken voor de HDS-hosts
Het installatieproces voor hybride databeveiliging maakt een ISO-bestand. Vervolgens gebruikt u de ISO om uw host voor hybride databeveiliging te configureren.
Voordat u begint
De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om er toegang toe te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Control Hub-account met volledige beheerdersrechten voor uw organisatie vereist.
Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5 opent. Deze tabel geeft enkele mogelijke omgevingsvariabelen:
Beschrijving
Variabele
HTTP-proxy zonder verificatie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy zonder verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy met verificatie
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy met verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de nieuwste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals:
Aanmeldgegevens database
Certificaatupdates
Wijzigingen in het autorisatiebeleid
Als u databaseverbindingen wilt versleutelen, stelt u uw PostgreSQL- of SQL Server-implementatie voor TLS in.
1 | Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in: In reguliere omgevingen:
In FedRAMP-omgevingen:
| ||||||||||||
2 | Voer het volgende in om u aan te melden bij het Docker-afbeeldingsregister:
| ||||||||||||
3 | Voer bij de wachtwoordprompt deze hash in:
| ||||||||||||
4 | Download de nieuwste stabiele afbeelding voor uw omgeving: In reguliere omgevingen:
In FedRAMP-omgevingen:
| ||||||||||||
5 | Wanneer de pull is voltooid, voert u de juiste opdracht voor uw omgeving in:
Als de container draait, ziet u 'Expresserver luisteren op poort 8080'. | ||||||||||||
6 |
Gebruik een webbrowser om naar de localhost te gaan De tool gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Het hulpprogramma geeft vervolgens de standaard aanmeldingsprompt weer. | ||||||||||||
7 | Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de Control Hub-klantbeheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan. | ||||||||||||
8 | Klik op de overzichtspagina van de installatietool op Aan de slag. | ||||||||||||
9 | Op de pagina ISO Import hebt u de volgende opties:
| ||||||||||||
10 | Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.
| ||||||||||||
11 | Voer het databaseadres en het account voor HDS in om toegang te krijgen tot uw belangrijke gegevensopslag: | ||||||||||||
12 | Selecteer een TLS-databaseverbindingsmodus:
Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-installatietool de TLS-verbinding met de databaseserver. De tool controleert ook de certificaatondertekenaar en hostnaam, indien van toepassing. Als een test mislukt, geeft de tool een foutbericht weer waarin het probleem wordt beschreven. U kunt kiezen of u de fout negeert en doorgaat met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de HDS-installatietool niet met succes kan worden getest.) | ||||||||||||
13 | Configureer uw Syslogd-server op de pagina Systeemlogboeken: | ||||||||||||
14 | (Optioneel) U kunt de standaardwaarde voor bepaalde parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u wilt wijzigen:
| ||||||||||||
15 | Klik op Doorgaan op het scherm Wachtwoord serviceaccounts opnieuw instellen. Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u wilt deze opnieuw instellen om eerdere ISO-bestanden ongeldig te maken. | ||||||||||||
16 | Klik op ISO-bestand downloaden. Sla het bestand op een gemakkelijk te vinden locatie op. | ||||||||||||
17 | Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||||||||||||
18 | Als u de Setup-tool wilt afsluiten, typt u |
De volgende stappen
Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten voor herstel te maken of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het herstellen van de sleutels van uw PostgreSQL- of Microsoft SQL Server-database is niet mogelijk.
We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze kwijtraakt. |
De HDS-host-OVA installeren
1 | Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host. | ||||||
2 | Selecteer File > Deploy OVF Template. | ||||||
3 | Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende. | ||||||
4 | Op de Selecteer een naam en map pagina, voer een in Naam virtuele machine voor het knooppunt (bijvoorbeeld 'HDS_Node_1') kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u vervolgens op Volgende. | ||||||
5 | Op de Een computerbron selecteren pagina, kies de bestemming compute resource en klik vervolgens op Volgende. Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloondetails weergegeven. | ||||||
6 | Controleer de sjabloondetails en klik op Volgende. | ||||||
7 | Als u wordt gevraagd de resourceconfiguratie te kiezen op de Configuratie pagina, klik op 4 CPU en klik vervolgens op Volgende. | ||||||
8 | Op de Selecteer opslag pagina, klik op Volgende om de standaard schijfindeling en het VM-opslagbeleid te accepteren. | ||||||
9 | Op de Selecteer netwerken-pagina, kies de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden. | ||||||
10 | Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen:
Indien gewenst kunt u de configuratie van de netwerkinstellingen overslaan en de stappen volgen in De hybride databeveiliging VM instellen om de instellingen vanaf de knooppuntconsole te configureren.
| ||||||
11 | Klik met de rechtermuisknop op het knooppunt VM en kies .De software voor hybride databeveiliging is geïnstalleerd als gast op de VM-host. U kunt zich nu aanmelden bij de console en het knooppunt configureren. Tips voor het oplossen van problemen U kunt een vertraging van een paar minuten ervaren voordat de knooppuntcontainers naar boven komen. Er verschijnt een brugfirewallbericht op de console tijdens de eerste keer opstarten, tijdens welke u zich niet kunt aanmelden. |
De VM voor hybride databeveiliging instellen
Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.
1 | Selecteer in de VMware vSphere-client uw knooppunt voor hybride databeveiliging VM en selecteer het tabblad Console. De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldprompt niet wordt weergegeven, drukt u op Enter.
|
2 | Gebruik de volgende standaardaanmelding en het volgende wachtwoord om u aan te melden en de aanmeldgegevens te wijzigen: Aangezien u zich voor de eerste keer aanmeldt bij uw VM, moet u het beheerderswachtwoord wijzigen. |
3 | Als u de netwerkinstellingen al hebt geconfigureerd in Install the HDS Host OVA, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken. |
4 | Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en een DNS-naam hebben. DHCP wordt niet ondersteund. |
5 | (Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om aan uw netwerkbeleid te voldoen. U hoeft het domein niet in te stellen op het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen. |
6 | Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen van kracht worden. |
De HDS-configuratie-ISO uploaden en koppelen
Voordat u begint
Omdat het ISO-bestand de hoofdsleutel bevat, mag het alleen worden blootgesteld op een 'need to know'-basis, voor toegang door de VM's voor hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen die beheerders toegang hebben tot de gegevensopslag.
1 | Upload het ISO-bestand vanaf uw computer: |
2 | Koppel het ISO-bestand: |
De volgende stappen
Als uw IT-beleid dit vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (Optioneel) ISO loskoppelen na HDS-configuratie voor meer informatie.
Het HDS-knooppunt configureren voor proxyintegratie
Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride databeveiliging. Als u een transparante inspecterende proxy of een expliciete HTTPS-proxy kiest, kunt u de interface van het knooppunt gebruiken om het hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding controleren vanuit de interface en mogelijke problemen oplossen.
Voordat u begint
Zie Proxyondersteuning voor een overzicht van de ondersteunde proxyopties.
1 | Voer de URL voor het instellen van het HDS-knooppunt in |
2 | Ga naar Trust Store & Proxy en kies een optie:
Volg de volgende stappen voor een transparante inspecterende proxy, een expliciete HTTP-proxy met basisverificatie of een expliciete HTTPS-proxy. |
3 | Klik op Upload a Root Certificate or End Entity Certificate (Een hoofdcertificaat uploaden of een entiteitscertificaat beëindigen) en navigeer vervolgens naar een hoofdcertificaat voor de proxy kiezen. Het certificaat is geüpload maar nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijl van de chevron bij de naam van de certificaatverstrekker voor meer informatie of klik op Verwijderen als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden. |
4 | Klik op Proxyverbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen. Als de verbindingstest mislukt, ziet u een foutbericht met de reden en hoe u het probleem kunt oplossen. Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken. Deze voorwaarde wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de modus Geblokkeerde externe DNS-resolutie. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u Geblokkeerde externe DNS-resolutiemodus uitschakelen. |
5 | Nadat de verbindingstest is verlopen en de expliciete proxy alleen is ingesteld op https, schakelt u de schakelaar in op Alle poort 443/444-https-verzoeken van dit knooppunt routeren via de expliciete proxy. Deze instelling heeft 15 seconden nodig om van kracht te worden. |
6 | Klik op Alle certificaten installeren in de Trust Store (wordt weergegeven voor een expliciete HTTPS-proxy of een transparante inspecterende proxy) of Opnieuw opstarten (wordt weergegeven voor een expliciete HTTP-proxy), lees de prompt en klik vervolgens op Installeren als u klaar bent. Het knooppunt wordt binnen een paar minuten opnieuw opgestart. |
7 | Nadat het knooppunt opnieuw is opgestart, meldt u zich indien nodig opnieuw aan en opent u de pagina Overzicht om de connectiviteitscontroles te controleren en ervoor te zorgen dat ze allemaal groen zijn. Met de proxyverbindingscontrole wordt alleen een subdomein van webex.com getest. Als er verbindingsproblemen zijn, is een algemeen probleem dat sommige van de clouddomeinen die in de installatie-instructies worden vermeld, worden geblokkeerd bij de proxy. |
Het eerste knooppunt in het cluster registreren
Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd om redundantie te bieden.
Voordat u begint
Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.
Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.
1 | Meld u aan bij https://admin.webex.com. |
2 | Selecteer Services in het menu links op het scherm. |
3 | Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellen. De pagina Knooppunt voor hybride databeveiliging registreren wordt weergegeven.
|
4 | Selecteer Ja om aan te geven dat u het knooppunt hebt ingesteld en klaar bent om het te registreren. Klik vervolgens op Volgende. |
5 | Voer in het eerste veld een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen. We raden u aan een cluster een naam te geven op basis van waar de knooppunten van het cluster zich geografisch bevinden. Voorbeelden: "San Francisco" of "New York" of "Dallas" |
6 | Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende. Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein dat u hebt gebruikt in De VM voor hybride databeveiliging instellen. Er wordt een bericht weergegeven dat u uw knooppunt kunt registreren bij de Webex.
|
7 | Klik op Ga naar knooppunt. |
8 | Klik in het waarschuwingsbericht op Doorgaan. Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor knooppunten voor Webex-services. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.
|
9 | Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan. Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd bij de Webex-cloud.
|
10 | Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Gegevensbeveiliging van hybride Control Hub. Op de pagina Hybride databeveiliging wordt het nieuwe cluster weergegeven met het knooppunt dat u hebt geregistreerd. Het knooppunt downloadt automatisch de nieuwste software vanuit de cloud.
|
Meer knooppunten maken en registreren
Op dit moment zijn de back-up-VM's die u hebt gemaakt in Voldoen aan de vereisten voor hybride databeveiliging stand-byhosts die alleen worden gebruikt in het geval van noodherstel. Ze zijn tot die tijd niet geregistreerd bij het systeem. Zie Noodherstel met behulp van het stand-bydatacenter voor meer informatie. |
Voordat u begint
Zodra u de registratie van een knooppunt start, moet u deze binnen 60 minuten voltooien of moet u opnieuw beginnen.
Zorg ervoor dat alle pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.
1 | Maak een nieuwe virtuele machine vanuit de OVA en herhaal de stappen in Installeer de HDS-host-OVA. |
2 | Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De hybride databeveiliging instellen. |
3 | Herhaal op de nieuwe VM de stappen in Upload and Mount the HDS Configuration ISO. |
4 | Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Configureer het HDS-knooppunt voor proxyintegratie indien nodig voor het nieuwe knooppunt. |
5 | Registreer het knooppunt. Uw knooppunt is geregistreerd. Houd er rekening mee dat totdat u een proefperiode start, uw knooppunten een alarm genereren dat aangeeft dat uw service nog niet is geactiveerd.
|
De volgende stappen
Doorstroom proefperiode naar productietaak
Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers toevoegen en deze gaan gebruiken om uw implementatie te testen en te verifiëren ter voorbereiding op de overgang naar productie.
Voordat u begint
1 | Indien van toepassing, synchroniseer de Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de |
2 |
Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd. |
3 | Uw implementatie voor hybride databeveiliging testen Controleer of belangrijke aanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging. |
4 | Gezondheid van hybride databeveiliging controleren Controleer de status en stel e-mailmeldingen in voor alarmen. |
5 | |
6 | Voltooi de onderzoeksfase met een van de volgende acties: |
Proefperiode activeren
Voordat u begint
Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u de HdsTrialGroup
groepsobject voor synchronisatie met de cloud voordat u een proefperiode voor uw organisatie kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.
1 | Meld u aan bij https://admin.webex.com en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Servicestatus op Proefperiode starten. De servicestatus verandert in de proefmodus.
|
4 | Klik op Gebruikers toevoegen en voer het e-mailadres van een of meer gebruikers in om uw knooppunten voor hybride databeveiliging te gebruiken voor codering- en indexeringsservices. (Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory om de testgroep te beheren, |
Uw implementatie voor hybride databeveiliging testen
Voordat u begint
Stel uw implementatie voor hybride databeveiliging in.
Activeer de proefperiode en voeg verschillende proefgebruikers toe.
Zorg ervoor dat u toegang hebt tot de syslog om te controleren of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging.
1 | Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilootgebruikers en maak vervolgens een ruimte en nodig ten minste één pilootgebruiker en één niet-pilootgebruiker uit.
| ||
2 | Verzend berichten naar de nieuwe ruimte. | ||
3 | Controleer de syslog-uitvoer om te controleren of de sleutelaanvragen worden doorgegeven aan uw implementatie voor hybride databeveiliging. |
Gezondheid van hybride databeveiliging controleren
1 | Selecteer in Control HubServices in het menu links op het scherm. |
2 | Zoek in het gedeelte Hybride services Hybride databeveiliging en klik op Instellingen. De pagina Instellingen voor hybride databeveiliging wordt weergegeven.
|
3 | Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen gescheiden door komma's en druk op Enter. |
Gebruikers toevoegen aan of verwijderen uit uw proefperiode
Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker om sleutels en sleutels te maken vanuit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die is opgeslagen op uw KMS, zal de cloud-KMS deze namens de gebruiker ophalen.
Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep te beheren, HdsTrialGroup
; u kunt de groepsleden weergeven in Control Hub, maar ze niet toevoegen of verwijderen.
1 | Meld u aan bij Control Hub en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Proefmodus van het gebied Servicestatus op Gebruikers toevoegen of klik op weergeven en bewerken om gebruikers uit de proefperiode te verwijderen. |
4 | Voer het e-mailadres in van een of meer gebruikers die u wilt toevoegen of klik op de X met een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan. |
Overstappen van proefperiode naar productie
1 | Meld u aan bij Control Hub en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Servicestatus op Verplaatsen naar productie. |
4 | Bevestig dat u al uw gebruikers naar de productie wilt verplaatsen. |
Uw proefperiode beëindigen zonder over te stappen naar productie
1 | Meld u aan bij Control Hub en selecteer Services. |
2 | Klik onder Hybride databeveiliging op Instellingen. |
3 | Klik in het gedeelte Deactiveren op Deactiveren. |
4 | Bevestig dat u de service wilt deactiveren en beëindig de proefperiode. |
HDS-implementatie beheren
Gebruik de taken die hier worden beschreven om uw implementatie voor hybride databeveiliging te beheren.
Upgradeschema voor cluster instellen
De upgradeplanning instellen:
1 | Meld u aan Control Hub. |
2 | Klik op de pagina Overzicht onder Hybride services op Hybride databeveiliging. |
3 | Selecteer het cluster op de pagina Resources voor hybride databeveiliging. |
4 | Selecteer in het deelvenster Overzicht aan de rechterkant onder Clusterinstellingen de clusternaam. |
5 | Selecteer op de pagina Instellingen onder Upgraden de tijd en tijdzone voor het upgradeschema. Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen naar de volgende dag door op Uitstellen te klikken. |
De knooppuntconfiguratie wijzigen
X.509-certificaten wijzigen vanwege verlopen of andere redenen.
We ondersteunen het wijzigen van de CN-domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om het cluster te registreren.
Database-instellingen bijwerken om te wijzigen in een replica van de PostgreSQL- of Microsoft SQL Server-database.
We ondersteunen het migreren van gegevens van PostgreSQL naar Microsoft SQL Server niet, of omgekeerd. Als u de databaseomgeving wilt wijzigen, start u een nieuwe implementatie van hybride databeveiliging.
Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.
Voor veiligheidsdoeleinden gebruikt Hybride databeveiliging ook wachtwoorden voor serviceaccounts met een levensduur van negen maanden. Nadat de HDS-setuptool deze wachtwoorden heeft gegenereerd, implementeert u deze naar elk van uw HDS-knooppunten in het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een melding van het Webex-team om het wachtwoord voor uw machineaccount opnieuw in te stellen. (De e-mail bevat de tekst 'De API van het computeraccount gebruiken om het wachtwoord bij te werken'.) Als uw wachtwoorden nog niet zijn verlopen, biedt de tool u twee opties:
Soft reset: de oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO-bestand op de knooppunten geleidelijk te vervangen.
Harde reset: de oude wachtwoorden werken niet meer onmiddellijk.
Als uw wachtwoorden verlopen zonder een reset, heeft dit invloed op uw HDS-service, waarvoor een onmiddellijke harde reset en vervanging van het ISO-bestand op alle knooppunten vereist is.
Gebruik deze procedure om een nieuw ISO-configuratiebestand te genereren en pas het toe op uw cluster.
Voordat u begint
De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om er toegang toe te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Control Hub-account met volledige beheerdersrechten voor uw organisatie vereist.
Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxyinstellingen (server, poort, referenties) op via Docker-omgevingsvariabelen bij het weergeven van de Docker-container in 1.e. Deze tabel geeft enkele mogelijke omgevingsvariabelen:
Beschrijving
Variabele
HTTP-proxy zonder verificatie
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy zonder verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy met verificatie
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy met verificatie
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel die de PostgreSQL- of Microsoft SQL Server-database versleutelt. U hebt de ISO nodig wanneer u configuratiewijzigingen aanbrengt, zoals database-referenties, certificaatupdates of wijzigingen in het autorisatiebeleid.
1 | Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt. |
2 | Als u slechts één HDS-knooppunt hebt uitgevoerd, maakt u een nieuwe VM voor het knooppunt voor hybride databeveiliging en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies. |
3 | Voor bestaande HDS-knooppunten waarop het oudere configuratiebestand wordt uitgevoerd, koppelt u het ISO-bestand. Voer op elk knooppunt om de beurt de volgende procedure uit en werk elk knooppunt bij voordat u het volgende knooppunt uitschakelt: |
4 | Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen. |
Geblokkeerde externe DNS-resolutiemodus uitschakelen
Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, worden DNS-zoekopdrachten en -verbindingen met de Cisco Webex-cloud getest. Als de DNS-server van het knooppunt geen openbare DNS-namen kan oplossen, gaat het knooppunt automatisch naar de modus Geblokkeerde externe DNS-resolutie.
Als uw knooppunten openbare DNS-namen kunnen oplossen via interne DNS-servers, kunt u deze modus uitschakelen door de proxyverbindingstest op elk knooppunt opnieuw uit te voeren.
Voordat u begint
1 | Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/instellingen, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden. |
2 | Ga naar Overzicht (de standaardpagina). Indien ingeschakeld, wordt de geblokkeerde externe DNS-resolutie ingesteld op Ja. |
3 | Ga naar de pagina Vertrouwensarchief & Proxy. |
4 | Klik op Proxyverbinding controleren. Als er een bericht wordt weergegeven dat de externe DNS-resolutie niet is gelukt, kan het knooppunt de DNS-server niet bereiken en blijft deze modus actief. Anders moet de geblokkeerde externe DNS-resolutie worden ingesteld op nee nadat u het knooppunt opnieuw hebt opgestart en teruggaat naar de pagina Overzicht. |
De volgende stappen
Een knooppunt verwijderen
1 | Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en de virtuele machine uit te schakelen. |
2 | Verwijder het knooppunt: |
3 | Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.) Als u de VM niet verwijdert, moet u het ISO-configuratiebestand loskoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken om toegang te krijgen tot uw beveiligingsgegevens. |
Noodherstel met behulp van het stand-bydatacenter
De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt voor het coderen van berichten en andere inhoud die in de Webex-cloud is opgeslagen. Voor elke gebruiker binnen de organisatie die is toegewezen aan hybride databeveiliging, worden nieuwe aanvragen voor het maken van sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de sleutels die zijn gemaakt aan gebruikers die bevoegd zijn om ze op te halen, bijvoorbeeld leden van een gespreksruimte.
Omdat het cluster de kritieke functie van het leveren van deze sleutels vervult, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden behouden. Verlies van de database met hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van inhoud van de klant. De volgende praktijken zijn verplicht om een dergelijk verlies te voorkomen:
Als door een calamiteit de HDS-implementatie in het primaire datacenter niet meer beschikbaar is, volgt u deze procedure om handmatig te failover te gaan naar het stand-bydatacenter.
1 | Start de HDS-installatietool en volg de stappen die worden vermeld in Een configuratie-ISO maken voor de HDS-hosts. | ||
2 | Klik na het configureren van de Syslogd-server op Geavanceerde instellingen | ||
3 | Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe of verwijder de
| ||
4 | Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op. | ||
5 | Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de inhoud van de database. Beperk de toegang tot alleen de beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||
6 | Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.. | ||
7 | Klik op Edit Settings >CD/DVD Drive 1 en selecteer Datastore ISO File.
| ||
8 | Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 15 minuten geen alarmen zijn. | ||
9 | Herhaal het proces voor elk knooppunt in het stand-bydatacenter.
|
De volgende stappen
(Optioneel) ISO loskoppelen na HDS-configuratie
De standaard HDS-configuratie wordt uitgevoerd met de ISO gemonteerd. Maar sommige klanten geven er de voorkeur aan ISO-bestanden niet continu gemonteerd achter te laten. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.
U gebruikt de ISO-bestanden nog steeds om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de installatietool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra al uw knooppunten de configuratiewijzigingen hebben overgenomen, kunt u de ISO opnieuw loskoppelen met deze procedure.
Voordat u begint
Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.
1 | Sluit een van uw HDS-knooppunten af. |
2 | Selecteer het HDS-knooppunt in het vCenter-serverapparaat. |
3 | Kies ISO-gegevensopslagbestand uitschakelen. en |
4 | Schakel het HDS-knooppunt in en zorg ervoor dat er ten minste 20 minuten geen alarmen zijn. |
5 | Herhaal dit om de beurt voor elk HDS-knooppunt. |
Waarschuwingen en problemen weergeven
Een implementatie voor hybride databeveiliging wordt als onbeschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als het cluster zo traag werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:
Nieuwe ruimten kunnen niet worden gemaakt (kan geen nieuwe sleutels maken)
Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:
Nieuwe gebruikers toegevoegd aan een ruimte (kan geen toetsen ophalen)
Bestaande gebruikers in een ruimte met een nieuwe client (kan geen sleutels ophalen)
Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben
Het is belangrijk dat u uw cluster voor hybride databeveiliging goed bewaakt en alle waarschuwingen onmiddellijk aanpakt om onderbrekingen van de service te voorkomen.
Waarschuwingen
Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen aan de organisatiebeheerder weer en worden e-mails naar het geconfigureerde e-mailadres verzonden. De waarschuwingen behandelen veel voorkomende scenario's.
Alarm | Actie |
---|---|
Toegang tot lokale database mislukt. |
Controleer op databasefouten of problemen met het lokale netwerk. |
Lokale databaseverbinding mislukt. |
Controleer of de databaseserver beschikbaar is en of de juiste serviceaccountgegevens zijn gebruikt in de knooppuntconfiguratie. |
Toegang tot cloudservice mislukt. |
Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Externe verbindingsvereisten. |
Cloudserviceregistratie vernieuwen. |
Registratie bij cloudservices is geschrapt. De registratie wordt vernieuwd. |
Registratie van cloudservice is verbroken. |
Registratie voor cloudservices is beëindigd. De service wordt afgesloten. |
Service nog niet geactiveerd. |
Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie. |
Het geconfigureerde domein komt niet overeen met het servercertificaat. |
Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein. De meest waarschijnlijke oorzaak is dat de CN van het certificaat onlangs is gewijzigd en nu verschilt van de CN die tijdens de eerste installatie is gebruikt. |
Kan niet verifiëren bij cloudservices. |
Controleer of de gegevens van het serviceaccount correct zijn en mogelijk verlopen. |
Kan lokaal keystore-bestand niet openen. |
Controleer op integriteit en nauwkeurigheid van het wachtwoord in het lokale keystore-bestand. |
Lokaal servercertificaat is ongeldig. |
Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie. |
Kan statistieken niet plaatsen. |
Controleer de toegang van het lokale netwerk tot externe cloudservices. |
/media/configdrive/hds directory bestaat niet. |
Controleer de ISO-montageconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om opnieuw op te starten en of het met succes wordt geïnstalleerd. |
Problemen met hybride databeveiliging oplossen
1 | Controleer Control Hub op waarschuwingen en los alle items op die u daar vindt. |
2 | Controleer de uitvoer van de syslog-server voor activiteit vanuit de implementatie voor hybride databeveiliging. |
3 | Neem contact op met de ondersteuning van Cisco. |
Bekende problemen voor hybride databeveiliging
Als u uw cluster voor hybride databeveiliging afsluit (door het te verwijderen in Control Hub of door alle knooppunten af te sluiten), uw configuratie-ISO-bestand verliest of toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst met personen die zijn gemaakt met toetsen van uw KMS. Dit geldt zowel voor proefperioden als voor productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en dringen er bij u op aan om uw HDS-services niet af te sluiten zodra ze actieve gebruikersaccounts afhandelen.
Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een periode (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefperiode voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken tot er een time-out optreedt. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact opneemt voor coderingssleutels.
Hetzelfde gedrag treedt op wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle niet-proefgebruikers met bestaande ECDH-verbindingen met de vorige gegevensbeveiligingsservices blijven deze services gebruiken totdat er opnieuw wordt onderhandeld over de ECDH-verbinding (via time-out of door afmelden en weer aanmelden).
OpenSSL gebruiken om een PKCS12-bestand te genereren
Voordat u begint
OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS Setup Tool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten niet op de een of andere manier.
Als u ervoor kiest om OpenSSL te gebruiken, bieden we deze procedure aan als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.
Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.
Maak een privésleutel aan.
Start deze procedure wanneer u het servercertificaat ontvangt van uw certificeringsinstantie (CA).
1 | Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als |
2 | Geef het certificaat weer als tekst en controleer de details.
|
3 | Gebruik een teksteditor om een certificaatbundelbestand met de naam
|
4 | Maak het .p12-bestand met de vriendelijke naam
|
5 | Controleer de gegevens van het servercertificaat. |
De volgende stappen
Ga terug naar Vereisten voor hybride databeveiliging voltooien. U gebruikt de hdsnode.p12
bestand en het wachtwoord dat u ervoor hebt ingesteld, in Create a Configuration ISO for the HDS Hosts.
U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt. |
Verkeer tussen de HDS-knooppunten en de cloud
Verkeer voor verzameling uitgaande statistieken
De knooppunten voor hybride databeveiliging sturen bepaalde statistieken naar de Webex-cloud. Dit zijn onder andere systeemstatistieken voor de maximale heap, gebruikte heap, CPU-belasting en draadtelling; statistieken over synchrone en asynchrone threads; statistieken over waarschuwingen met een drempelwaarde voor coderingsverbindingen, latentie of de lengte van een aanvraagwachtrij; statistieken over de gegevensopslag; en coderingsverbindingsstatistieken. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (gescheiden van het verzoekkanaal).
Inkomend verkeer
De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer vanuit de Webex-cloud:
Coderingsverzoeken van clients die door de coderingsservice worden gerouteerd
Upgrades naar de knooppuntsoftware
Squid-proxy's configureren voor hybride databeveiliging
Websocket kan geen verbinding maken via de Squid Proxy
Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de instelling van websocket ( wss:
) verbindingen die Hybride databeveiliging vereist. Deze secties bieden richtlijnen voor het configureren van verschillende versies van Squid om te negeren wss:
verkeer voor de goede werking van de diensten.
Inktvis 4 en 5
Voeg de on_unsupported_protocol
richtlijn tot squid.conf
:
on_unsupported_protocol tunnel all
Pijlinktvis 3.5.27
We hebben hybride databeveiliging met succes getest met de volgende regels toegevoegd aan squid.conf
. Deze regels kunnen worden gewijzigd bij het ontwikkelen van functies en het bijwerken van de Webex-cloud.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Voorwoord
Nieuwe en gewijzigde informatie
Datum |
Aangebrachte wijzigingen |
---|---|
20 oktober 2023 |
|
7 augustus 2023 |
|
23 mei 2023 |
|
6 december 2022 |
|
23 november 2022 |
|
13 oktober 2021 |
Docker Desktop moet een installatieprogramma uitvoeren voordat u HDS-knooppunten kunt installeren. Zie Vereisten voor Docker-desktop. |
24 juni 2021 |
Er is op gewezen dat u het bestand met de privésleutel en de CSR opnieuw kunt gebruiken om een ander certificaat aan te vragen. Zie OpenSSL gebruiken om een PKCS12-bestand te genereren voor meer informatie. |
30 april 2021 |
De VM-vereiste voor lokale harde schijfruimte is gewijzigd naar 30 GB. Zie Vereisten voor virtuele hosts voor meer informatie. |
24 februari 2021 |
HDS-setuptool kan nu achter een proxy worden uitgevoerd. Zie Een configuratie-ISO voor de HDS-hosts maken voor meer informatie. |
2 februari 2021 |
HDS kan nu zonder gekoppeld ISO-bestand worden uitgevoerd. Zie (optioneel) ISO ontkoppelen na HDS-configuratie voor meer informatie. |
11 januari 2021 |
Informatie toegevoegd over HDS-setuptool en proxy's om een configuratie-ISO voor de HDS-hosts te maken. |
13 oktober 2020 |
Installatiebestanden downloaden is bijgewerkt. |
8 oktober 2020 |
Een configuratie-ISO maken voor de HDS-hosts en De knooppuntconfiguratie wijzigen met opdrachten voor FedRAMP-omgevingen bijgewerkt. |
14 augustus 2020 |
Een configuratie-ISO maken voor de HDS-hosts bijgewerkt en De knooppuntconfiguratie wijzigen met wijzigingen in het aanmeldingsproces. |
5 augustus 2020 |
Uw implementatie van hybride databeveiliging testen bijgewerkt voor wijzigingen in logboekberichten. Bijgewerkte vereisten voor virtuele hosts om het maximumaantal hosts te verwijderen. |
16 juni 2020 |
Een knooppunt verwijderen bijgewerkt voor wijzigingen in de gebruikersinterface van Control Hub. |
4 juni 2020 |
Een configuratie-ISO maken voor de HDS-hosts bijgewerkt voor wijzigingen in de geavanceerde instellingen die u mogelijk instelt. |
29 mei 2020 |
Een configuratie-ISO maken voor de HDS-hosts bijgewerkt om aan te tonen dat u ook TLS kunt gebruiken met SQL Server-databases, wijzigingen in de gebruikersinterface en andere verduidelijkingen. |
5 mei 2020 |
Bijgewerkte vereisten voor virtuele host om de nieuwe vereiste voor ESXi 6.5 weer te geven. |
21 april 2020 |
Bijgewerkte vereisten voor externe connectiviteit met nieuwe Americas CI-hosts. |
1 april 2020 |
Bijgewerkte vereisten voor externe connectiviteit met informatie over regionale CI-hosts. |
20 februari 2020 | Een configuratie-ISO maken voor de HDS-hosts bijgewerkt met informatie op het nieuwe optionele scherm Geavanceerde instellingen in de HDS-setuptool. |
4 februari 2020 | Bijgewerkte Vereisten proxyserver. |
16 december 2019 | De vereiste dat de modus voor geblokkeerde externe DNS-resolutie werkt in de Vereisten voor proxyserver is verduidelijkt. |
19 november 2019 |
Informatie toegevoegd over de modus voor geblokkeerde externe DNS-resolutie in de volgende secties: |
8 november 2019 |
U kunt nu netwerkinstellingen configureren voor een knooppunt tijdens het implementeren van de OVA in plaats van achteraf. De volgende secties zijn dienovereenkomstig bijgewerkt: De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 6.5. Deze optie is mogelijk niet beschikbaar in eerdere versies. |
6 september 2019 |
SQL Server-standaard toegevoegd aan Vereisten voor databaseserver. |
29 augustus 2019 | De bijlage Squid-proxy's configureren voor hybride databeveiliging is toegevoegd met richtlijnen voor het configureren van Squid-proxy's om WebSocket-verkeer te negeren voor de juiste werking. |
20 augustus 2019 |
Gedeelten toegevoegd en bijgewerkt met betrekking tot proxyondersteuning voor knooppuntcommunicatie van hybride databeveiliging met de Webex-cloud. Zie het Help-artikel Proxyondersteuning voor hybride databeveiliging en Webex-videomesh voor toegang tot alleen de inhoud van de proxyondersteuning voor een bestaande implementatie. |
13 juni 2019 | Proefperiode naar productietaakstroom bijgewerkt met een herinnering om het groepsobject HdsTrialGroup te synchroniseren voordat u een proefperiode start als uw organisatie adreslijstsynchronisatie gebruikt. |
6 maart 2019 |
|
28 februari 2019 |
|
26 februari 2019 |
|
24 januari 2019 |
|
5 november 2018 |
|
19 oktober 2018 |
|
31 juli 2018 |
|
21 mei 2018 |
Terminologie gewijzigd om de rebranding van Cisco Spark weer te geven:
|
11 april 2018 |
|
22 februari 2018 |
|
15 februari 2018 |
|
18 januari 2018 |
|
2 november 2017 |
|
18 augustus 2017 |
Eerst gepubliceerd |
Aan de slag met hybride databeveiliging
Overzicht van Hybride databeveiliging
Vanaf dag één is gegevensbeveiliging de primaire focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end-inhoudscodering, ingeschakeld door clients van de Webex-app die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografiesleutels die clients gebruiken om berichten en bestanden dynamisch te coderen en te decoderen.
Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride databeveiliging verplaatst de KMS en andere beveiligingsgerelateerde functies naar uw bedrijfsdatacenter, dus niemand maar u beschikt over de sleutels voor uw gecodeerde inhoud.
Architectuur beveiligingsrealm
De Webex-cloudarchitectuur scheidt verschillende typen services in verschillende realms of vertrouwensdomeinen, zoals hieronder afgebeeld.
Laten we voor meer informatie over hybride databeveiliging eerst naar deze pure cloudcase kijken, waarbij Cisco alle functies in zijn clouddomeinen biedt. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks gecorreleerd kunnen worden met hun persoonlijke informatie, zoals hun e-mailadres, staat logischerwijs en fysiek los van de beveiligingsruimte in datacenter B. Beide staan op hun beurt los van de ruimte waar gecodeerde inhoud uiteindelijk wordt opgeslagen, in datacenter C.
In dit diagram is de client de Webex-app die op de laptop van een gebruiker wordt uitgevoerd en is de identiteitsservice geverifieerd. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:
-
De client brengt een beveiligde verbinding tot stand met de sleutelbeheerservice (KMS) en vraagt vervolgens een sleutel aan om het bericht te coderen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.
-
Het bericht wordt gecodeerd voordat het de client verlaat. De client verzendt deze naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.
-
Het gecodeerde bericht wordt naar de nalevingsservice verzonden voor nalevingscontroles.
-
Het gecodeerde bericht wordt opgeslagen in de opslagrealm.
Wanneer u hybride databeveiliging implementeert, verplaatst u de functies van de beveiligingsregio (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de rijken van Cisco.
Samenwerken met andere organisaties
Gebruikers in uw organisatie kunnen regelmatig de Webex-app gebruiken om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, leidt uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS op te halen. Vervolgens stuurt u de sleutel terug naar uw gebruiker op het oorspronkelijke kanaal.
De KMS-service die op Organisatie A wordt uitgevoerd, valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat dat u wilt gebruiken met uw implementatie van hybride databeveiliging.
Verwachtingen voor het implementeren van hybride databeveiliging
Een implementatie van hybride databeveiliging vereist aanzienlijke betrokkenheid van de klant en een besef van de risico's die verbonden zijn aan het bezit van coderingssleutels.
Voor het implementeren van hybride databeveiliging moet u het volgende opgeven:
-
Een beveiligd datacenter in een land dat een ondersteunde locatie is voor de Cisco Webex Teams-abonnementen.
Volledig verlies van de configuratie-ISO die u voor hybride databeveiliging maakt of de database die u opgeeft, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers ruimte-inhoud en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar is alleen nieuwe inhoud zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:
-
Beheer de back-up en het herstel van de database en de configuratie-ISO.
-
Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing van de databaseselectie of een ramp in een datacenter.
Er is geen mechanisme om sleutels terug naar de cloud te verplaatsen na een HDS-implementatie.
Installatieproces op hoog niveau
Dit document behandelt de installatie en het beheer van een implementatie van hybride databeveiliging:
Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het testen van uw implementatie met een subset van gebruikers in de proefmodus en het starten van de productiemodus zodra de tests zijn voltooid. Hiermee converteert u de hele organisatie naar uw cluster voor hybride databeveiliging voor beveiligingsfuncties.
De installatie-, proef- en productiefasen worden in detail behandeld in de volgende drie hoofdstukken.
-
Uw implementatie van hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch doorlopende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig contact opnemen met Cisco-ondersteuning. U kunt meldingen op het scherm gebruiken en waarschuwingen op basis van e-mail instellen in Control Hub.
-
Algemene waarschuwingen, stappen voor het oplossen van problemen en bekende problemen begrijpen: als u problemen ondervindt met het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen bij het bepalen en oplossen van het probleem.
Implementatiemodel voor hybride databeveiliging
In uw bedrijfsdatacenter implementeert u hybride databeveiliging als een enkele cluster knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.
Tijdens het installatieproces voorzien we u van het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt koppelt. Het cluster voor hybride databeveiliging gebruikt uw opgegeven Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de Syslogd- en databaseverbindingsgegevens in de HDS-setuptool.)
Het minimum aantal knooppunten dat u in een cluster kunt hebben, is twee. We raden ten minste drie per cluster aan. Het hebben van meerdere knooppunten zorgt ervoor dat de service niet wordt onderbroken tijdens een software-upgrade of andere onderhoudsactiviteiten op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)
Alle knooppunten in een cluster hebben toegang tot dezelfde belangrijke gegevensopslag en logboekactiviteit tot dezelfde syslog-server. De knooppunten zelf zijn staatloos en handelen sleutelverzoeken af op ronde-robin-manier, zoals aangegeven door de cloud.
Knooppunten worden actief wanneer u ze registreert in Control Hub. Als u een afzonderlijk knooppunt uit dienst wilt nemen, kunt u de registratie ongedaan maken en later indien nodig opnieuw registreren.
We ondersteunen slechts één cluster per organisatie.
Proefmodus hybride databeveiliging
Nadat u een implementatie voor hybride databeveiliging hebt ingesteld, probeert u het eerst met een set pilootgebruikers. Tijdens de proefperiode gebruiken deze gebruikers uw hybride databeveiligingsdomein op locatie voor coderingssleutels en andere services van de beveiligingsrealm. Uw andere gebruikers blijven de cloudbeveiligingsrealm gebruiken.
Als u besluit om niet door te gaan met de implementatie tijdens de proefperiode en de service te deactiveren, verliezen de groepsgebruikers en eventuele gebruikers met wie ze communiceren door nieuwe ruimten te maken tijdens de proefperiode de toegang tot de berichten en inhoud. Ze zien 'Dit bericht kan niet worden gedecodeerd' in de Webex-app.
Als u tevreden bent dat uw implementatie goed werkt voor de proefgebruikers en u klaar bent om hybride databeveiliging uit te breiden naar al uw gebruikers, verplaatst u de implementatie naar productie. Pilotgebruikers hebben nog steeds toegang tot de sleutels die tijdens de proefperiode in gebruik waren. U kunt echter niet heen en weer bewegen tussen de productiemodus en de oorspronkelijke proefperiode. Als u de service moet deactiveren, zoals noodherstel, moet u bij het opnieuw activeren een nieuwe proefperiode starten en de set pilotgebruikers instellen voor de nieuwe proefperiode voordat u teruggaat naar de productiemodus. Of gebruikers op dit punt toegang tot gegevens behouden, hangt af van het feit of u back-ups hebt onderhouden van de belangrijke gegevensopslag en het ISO-configuratiebestand voor de knooppunten voor hybride databeveiliging in uw cluster.
Stand-by-datacenter voor noodherstel
Tijdens de implementatie stelt u een beveiligd stand-by datacenter in. In het geval van een datacenterramp kunt u de implementatie handmatig naar het stand-bydatacenter mislukken.
De databases van de actieve en stand-bydatacenters zijn gesynchroniseerd met elkaar, waardoor de tijd die nodig is om de failover uit te voeren, wordt geminimaliseerd. Het ISO-bestand van het stand-bydatacenter wordt bijgewerkt met aanvullende configuraties die ervoor zorgen dat de knooppunten worden geregistreerd bij de organisatie, maar geen verkeer verwerken. Daarom blijven de knooppunten van het stand-bydatacenter altijd up-to-date met de nieuwste versie van HDS-software.
De actieve knooppunten voor hybride databeveiliging moeten zich altijd in hetzelfde datacenter bevinden als de actieve databaseserver.
Stand-by-datacenter instellen voor noodherstel
Volg de onderstaande stappen om het ISO-bestand van het stand-bydatacenter te configureren:
Voordat u begint
-
Het stand-bydatacenter moet de productieomgeving van VM's en een back-updatabase van PostgreSQL of Microsoft SQL Server spiegelen. Als de productie bijvoorbeeld 3 VM's heeft waarop HDS-knooppunten worden uitgevoerd, moet de back-upomgeving 3 VM's hebben. (Zie Stand-by-datacenter voor noodherstel voor een overzicht van dit failovermodel.)
-
Zorg ervoor dat databasesynchronisatie is ingeschakeld tussen de database van actieve en passieve clusterknooppunten.
1 |
Start de HDS-setuptool en volg de stappen die worden vermeld in Een configuratie-ISO voor de HDS-hosts maken. Het ISO-bestand moet een kopie zijn van het oorspronkelijke ISO-bestand van het primaire datacenter waarop de volgende configuratie-updates moeten worden aangebracht. |
2 |
Nadat u de Syslogd-server hebt geconfigureerd, klikt u op Geavanceerde instellingen |
3 |
Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe om het knooppunt in de passieve modus te plaatsen. In deze modus wordt het knooppunt geregistreerd bij de organisatie en verbonden met de cloud, maar verwerkt het geen verkeer.
|
4 |
Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op. |
5 |
Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. |
6 |
Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken. |
7 |
Klik op Instellingen bewerken >CD/DVD-station 1 en selecteer ISO-gegevensopslagbestand. Zorg ervoor dat Verbonden en Verbinding maken bij inschakelen zijn ingeschakeld, zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart. |
8 |
Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 15 minuten geen alarmen zijn. |
9 |
Herhaal het proces voor elk knooppunt in het stand-bydatacenter. Controleer de syslogs om te controleren of de knooppunten zich in de passieve modus bevinden. U moet het bericht 'KMS geconfigureerd in passieve modus' in de syslogs kunnen weergeven. |
De volgende stappen
Nadat u de passiveMode
in het ISO-bestand hebt geconfigureerd en hebt opgeslagen, kunt u nog een kopie van het ISO-bestand maken zonder de passiveMode
-configuratie en het bestand opslaan op een veilige locatie. Deze kopie van het ISO-bestand zonder geconfigureerde passiveMode
kan helpen bij een snel failoverproces tijdens noodherstel. Zie Noodherstel met stand-bydatacenter voor de gedetailleerde failoverprocedure.
Proxy ondersteuning
Hybride gegevensbeveiliging biedt ondersteuning voor expliciete, transparante inspectie en het niet-geïnspecteerde proxy's. U kunt deze proxy's koppelen aan uw implementatie zodat u verkeer van de onderneming kunt beveiligen en controleren naar de Cloud. U kunt een platformbeheer interface gebruiken op de knooppunten voor certificaatbeheer en de algehele verbindingsstatus controleren nadat u de proxy op de knooppunten hebt ingesteld.
De knooppunten voor hybride data beveiliging ondersteunen de volgende proxy opties:
-
Geen proxy: de standaard als u het HDS-knooppunt niet gebruikt, stelt u de vertrouwensarchief- en proxyconfiguratie in om een proxy te integreren. Er is geen certificaat update vereist.
-
Transparante proxy zonder inspectie: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres en hoeven geen wijzigingen te vereisen om te werken met een proxy zonder inspectie. Er is geen certificaat update vereist.
-
Transparent tunneling of inspecting proxy: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres. Er zijn geen HTTP-of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).
-
Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welke proxyserver en verificatieschema moeten worden gebruikt. Als u een expliciete proxy wilt configureren, moet u op elk knooppunt de volgende informatie invoeren:
-
Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.
-
Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.
-
Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:
-
HTTP: alle aanvragen die de client verzendt, worden weergegeven en beheerd.
-
HTTPS: geeft een kanaal aan de server. De client ontvangt en valideert het certificaat van de server.
-
-
Verificatietype: kies uit de volgende verificatietypen:
-
Geen: geen verdere verificatie is vereist.
Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.
-
Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.
Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.
Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.
-
Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.
Alleen beschikbaar als u HTTPS als proxy protocol selecteert.
Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.
-
-
Voorbeeld van knooppunten en proxy voor hybride data beveiliging
Dit diagram toont een voorbeeld van een verbinding tussen de hybride gegevensbeveiliging, het netwerk en een proxy. Voor de instellingen voor transparant inspecteren en HTTPS expliciet controleren, moeten dezelfde hoofdcertificaat op de proxy en op de knooppunten voor hybride data beveiliging worden geïnstalleerd.
Geblokkeerde externe DNS-omzettingsmodus (expliciete proxy configuraties)
Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. In implementaties met expliciete proxyconfiguraties die geen externe DNS-omzetting voor interne clients toestaan, als het knooppunt de DNS-servers niet kan opvragen, wordt de geblokkeerde externe DNS-omzettingsmodus automatisch ingeschakeld. In deze modus kan de registratie van knooppunten en andere proxy connectiviteitstests worden voortgezet.
Uw omgeving voorbereiden
Vereisten voor hybride databeveiliging
Cisco Webex-licentievereisten
Hybride databeveiliging implementeren:
-
U moet het Pro-pakket voor Cisco Webex Control Hub hebben. (Zie https://www.cisco.com/go/pro-pack.)
Vereisten voor Docker Desktop
Voordat u uw HDS-knooppunten installeert, moet u Docker Desktop gebruiken om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie kan een betaald abonnement voor Docker Desktop vereisen. Zie het Docker-blogbericht ' Docker is bezig ons productabonnement bij te werken en uit te breiden' voor meer informatie.
X.509-certificaatvereisten
De certificaatketen moet aan de volgende vereisten voldoen:
Vereiste |
Details |
---|---|
|
Standaard vertrouwen we de CA's in de lijst met Mozilla (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs. |
|
De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die overeenkomt met uw organisatie, bijvoorbeeld De algemene naam mag geen * (jokerteken) bevatten. De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren naar Webex-app-clients. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden. Wanneer u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam. Kies een domein dat van toepassing kan zijn op zowel de proefperiode- als de productie-implementaties. |
|
De KMS-software biedt geen ondersteuning voor SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties. |
|
U kunt een conversieprogramma zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen. U moet het wachtwoord invoeren wanneer u de HDS-setuptool uitvoert. |
De KMS-software dwingt geen beperkingen op het sleutelgebruik of het uitgebreide sleutelgebruik af. Sommige certificeringsinstanties vereisen dat uitgebreide gebruiksbeperkingen voor elk certificaat worden toegepast, zoals serververificatie. Het is oké om de serververificatie of andere instellingen te gebruiken.
Vereisten voor virtuele host
De virtuele hosts die u als knooppunten voor hybride databeveiliging in uw cluster instelt, hebben de volgende vereisten:
-
Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich samen in hetzelfde beveiligde datacenter bevinden
-
VMware ESXi 6.5 (of hoger) is geïnstalleerd en wordt uitgevoerd.
Als u een eerdere versie van ESXi hebt, moet u upgraden.
-
Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server
Vereisten voor databaseserver
Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. De HDS-toepassingen maken na installatie het databaseschema.
Er zijn twee opties voor databaseserver. De vereisten voor elk ervan zijn als volgt:
PostgreSQL |
Microsoft SQL-server |
---|---|
|
|
Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten) |
Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten) |
De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:
PostgreSQL |
Microsoft SQL-server |
---|---|
Postgres JDBC driver 42.2.5 |
SQL Server JDBC-stuurprogramma 4.6 Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover-clusterinstanties en Always On-beschikbaarheidsgroepen). |
Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server
Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:
-
De HDS-knooppunten, de Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.
-
Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees- en schrijftoegang hebben tot de database.
-
De DNS-servers die u aan HDS-knooppunten verstrekt, moeten uw Key Distribution Center (KDC) kunnen oplossen.
-
U kunt het exemplaar van de HDS-database op uw Microsoft SQL-server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een hoofdnaam voor de service registreren voor Kerberos-verbindingen.
De HDS-setuptool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de details uit uw ISO-configuratie om de SPN te maken wanneer ze toegang aanvragen met Kerberos-verificatie.
Vereisten voor externe connectiviteit
Configureer uw firewall om de volgende connectiviteit voor de HDS-toepassingen toe te staan:
Toepassing |
Protocol |
Poort |
Richting vanuit app |
Bestemming |
---|---|---|---|---|
Knooppunten voor hybride databeveiliging |
TCP |
443 |
Uitgaande HTTPS en WSS |
|
HDS-setuptool |
TCP |
443 |
Uitgaande HTTPS |
|
De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de vorige tabel toestaat. Voor verbindingen die inkomend naar de knooppunten voor hybride databeveiliging gaan, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22 voor administratieve doeleinden.
De URL's voor de Common Identity-hosts (CI) zijn regiospecifiek. Dit zijn de huidige CI-hosts:
Regio |
URL's van host van algemene identiteit |
---|---|
Amerika |
|
Europese Unie |
|
Canada |
|
Vereisten voor de proxy server
-
We ondersteunen de volgende proxy oplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride data beveiliging.
-
Transparante proxy: Cisco Web Security Appliance (WSA).
-
Expliciete proxy-pijlinktvis.
Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:) verstoren. Zie Squid-proxy's configureren voor hybride databeveiliging om dit probleem te omzeilen.
-
-
We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:
-
Geen verificatie met HTTP of HTTPS
-
Basisverificatie met HTTP of HTTPS
-
Alleen verificatiesamenvatting met HTTPS
-
-
Voor een transparante inspectie proxy of een HTTPS-expliciete proxy moet u een kopie van de hoofdcertificaat van de proxy hebben. De implementatie-instructies in deze handleiding geven aan hoe u de kopie kunt uploaden naar de vertrouwens archieven van de hybride Data Security-knooppunten.
-
Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 af te ronden via de proxy.
-
Proxy's die het webverkeer controleren, kunnen de WebSocket-verbindingen belemmeren. Als dit probleem zich voordoet, kunt u het probleem oplossen door het verkeer niet te controleren op
wbx2.com
enciscospark.com
.
Voldoen aan de vereisten voor hybride databeveiliging
1 |
Zorg ervoor dat uw Webex-organisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub en haal de referenties op van een account met volledige beheerdersrechten van de organisatie. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces. |
2 |
Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld |
3 |
Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt minimaal twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter staan en die voldoen aan de vereisten in Vereisten voor virtuele hosts. |
4 |
Bereid de databaseserver voor die fungeert als de belangrijkste gegevensopslag voor het cluster, volgens de Vereisten van de databaseserver. De databaseserver moet in het beveiligde datacenter samen met de virtuele hosts worden geplaatst. |
5 |
Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft waarop HDS-knooppunten worden uitgevoerd, moet de back-upomgeving 3 VM's hebben. |
6 |
Stel een syslog-host in om logboeken van de knooppunten in het cluster te verzamelen. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514). |
7 |
Maak een beveiligd back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging. Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die voor het coderen en decoderen van inhoud worden gebruikt, zal het niet onderhouden van een operationele implementatie leiden tot ONHERSTELBAAR VERLIES van die inhoud. Webex-app-clients slaan hun sleutels in het cachegeheugen, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen onmogelijk te voorkomen zijn, zijn ze herstelbaar. Een volledig verlies (er zijn geen back-ups beschikbaar) van de database of het ISO-configuratiebestand zal echter resulteren in onherstelbare klantgegevens. Van de operatoren van de knooppunten voor hybride databeveiliging wordt verwacht dat ze frequente back-ups van de database en het ISO-configuratiebestand bijhouden en dat ze voorbereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als zich een catastrofale storing voordoet. |
8 |
Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw knooppunten voor hybride databeveiliging mogelijk maakt, zoals beschreven in Vereisten voor externe connectiviteit. |
9 |
Installeer Docker ( https://www.docker.com) op een lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft op http://127.0.0.1:8080. U gebruikt de Docker-instantie om de HDS Setup Tool te downloaden en uit te voeren, waarmee de lokale configuratiegegevens voor alle knooppunten voor hybride databeveiliging worden opgebouwd. Uw organisatie heeft mogelijk een Docker Desktop-licentie nodig. Zie Vereisten voor Docker-desktops voor meer informatie. Als u de HDS-setuptool wilt installeren en uitvoeren, moet de lokale machine de verbinding hebben die wordt beschreven in Vereisten voor externe connectiviteit. |
10 |
Als u een proxy integreert met hybride databeveiliging, moet u controleren of deze voldoet aan de vereisten voor de proxyserver. |
11 |
Als uw organisatie gebruikmaakt van adreslijstsynchronisatie, maakt u in Active Directory een groep met de naam Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Houd er bij het selecteren van pilotgebruikers rekening mee dat als u besluit de implementatie van hybride databeveiliging permanent te deactiveren, alle gebruikers de toegang verliezen tot inhoud in de ruimten die door de pilotgebruikers zijn gemaakt. Het verlies wordt duidelijk zodra de apps van gebruikers hun gecachte kopieën van de inhoud vernieuwen. |
Een cluster voor hybride databeveiliging instellen
Taakstroom implementatie hybride databeveiliging
Voordat u begint
1 |
Voer de eerste installatie uit en download installatiebestanden Download het OVA-bestand naar uw lokale machine voor later gebruik. |
2 |
Een configuratie-ISO voor de HDS-hosts maken Gebruik de HDS-setuptool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging. |
3 |
Maak een virtuele machine met het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen. De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 6.5. Deze optie is mogelijk niet beschikbaar in eerdere versies. |
4 |
VM voor hybride databeveiliging instellen Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie. |
5 |
De HDS-configuratie-ISO uploaden en koppelen Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-setuptool. |
6 |
Configureer het HDS-knooppunt voor proxy-integratie Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u het proxycertificaat indien nodig toe aan de vertrouwensopslag. |
7 |
Het eerste knooppunt in het cluster registreren Registreer de VM bij de Cisco Webex-cloud als knooppunt voor hybride databeveiliging. |
8 |
Meer knooppunten maken en registreren Voltooi de clustersetup. |
9 |
Een proefperiode uitvoeren en naar productie gaan (volgend hoofdstuk) Totdat u een proefperiode start, genereren uw knooppunten een alarm dat aangeeft dat uw service nog niet is geactiveerd. |
Installatiebestanden downloaden
1 |
Meld u aan bij https://admin.webex.com en klik vervolgens op Services. |
2 |
Zoek in het gedeelte Hybride services de kaart Hybride databeveiliging en klik vervolgens op Instellen. Als de kaart is uitgeschakeld of als u deze niet ziet, neemt u contact op met uw accountteam of uw partnerorganisatie. Geef hun uw accountnummer en vraag hen hybride databeveiliging in te schakelen voor uw organisatie. Klik op het tandwieltje rechtsboven naast de naam van uw organisatie om het accountnummer te vinden. U kunt de OVA ook op elk moment downloaden via het gedeelte Help op de pagina Instellingen . Klik op de kaart met hybride databeveiliging op Instellingen bewerken om de pagina te openen. Klik vervolgens in het gedeelte Help op Software voor hybride databeveiliging downloaden . Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de meest recente versie van het OVA-bestand downloadt. |
3 |
Selecteer Nee om aan te geven dat u het knooppunt nog niet hebt ingesteld en klik vervolgens op Volgende. Het downloaden van het OVA-bestand wordt automatisch gestart. Sla het bestand op een locatie op uw computer op.
|
4 |
U kunt ook op Implementatiehandleiding openen klikken om te controleren of er een nieuwere versie van deze handleiding beschikbaar is. |
Een configuratie-ISO voor de HDS-hosts maken
Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.
Voordat u begint
-
De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Control Hub-account met volledige beheerdersrechten voor uw organisatie vereist.
Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:
Beschrijving
Variabele
HTTP-proxy zonder verificatie
GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT
HTTPS-proxy zonder verificatie
GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT
HTTP-proxy met verificatie
GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT
HTTPS-proxy met verificatie
GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT
-
Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:
-
Aanmeldgegevens database
-
Certificaatupdates
-
Wijzigingen in autorisatiebeleid
-
-
Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.
1 |
Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in: In normale omgevingen: In FedRAMP-omgevingen: Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren. | ||||||||||
2 |
Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in: | ||||||||||
3 |
Voer bij de wachtwoordprompt deze hash in: | ||||||||||
4 |
Download de nieuwste stabiele afbeelding voor uw omgeving: In normale omgevingen: In FedRAMP-omgevingen: | ||||||||||
5 |
Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:
Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'. | ||||||||||
6 |
De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost. Gebruik een webbrowser om naar de localhost, Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven. | ||||||||||
7 |
Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de klantbeheerder van Control Hub in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan. | ||||||||||
8 |
Klik op de overzichtspagina van de setuptool op Aan de slag. | ||||||||||
9 |
Op de pagina ISO-import hebt u de volgende opties:
| ||||||||||
10 |
Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.
| ||||||||||
11 |
Voer het databaseadres en het account in voor HDS om toegang te krijgen tot uw belangrijke gegevensopslag: | ||||||||||
12 |
Selecteer een TLS-databaseverbindingsmodus:
Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-setuptool de TLS-verbinding met de databaseserver. De tool controleert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, wordt er een foutmelding weergegeven waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de machine van de HDS-setuptool deze niet kan testen.) | ||||||||||
13 |
Configureer uw Syslogd-server op de pagina Systeemlogboeken: | ||||||||||
14 |
(Optioneel) U kunt de standaardwaarde voor sommige parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u mogelijk wilt wijzigen: | ||||||||||
15 |
Klik op Doorgaan in het scherm Wachtwoord voor serviceaccounts herstellen . Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u ze wilt herstellen om eerdere ISO-bestanden ongeldig te maken. | ||||||||||
16 |
Klik op ISO-bestand downloaden. Sla het bestand op een eenvoudig te vinden locatie op. | ||||||||||
17 |
Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. | ||||||||||
18 |
Als u de setuptool wilt afsluiten, typt u |
De volgende stappen
Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten te maken voor herstel of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het is niet mogelijk om de sleutels te herstellen van uw PostgreSQL- of Microsoft SQL Server-database.
We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze verliest.
De HDS-host-OVA installeren
1 |
Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host. |
2 |
Selecteer Bestand > OVF-sjabloon implementeren. |
3 |
Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende. |
4 |
Op de pagina Een naam en map selecteren voert u een naam van de virtuele machine in voor het knooppunt (bijvoorbeeld 'HDS_Node_1'), kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u op Volgende. |
5 |
Kies op de pagina Een rekenresource selecteren de bestemming van de rekenresource en klik vervolgens op Volgende. Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloongegevens weergegeven. |
6 |
Controleer de sjabloongegevens en klik vervolgens op Volgende. |
7 |
Als u wordt gevraagd de resourceneconfiguratie op de pagina Configuratie te kiezen, klikt u op 4 CPU en vervolgens op Volgende. |
8 |
Klik op de pagina Opslag selecteren op Volgende om het standaard schijfindeling en het VM-opslagbeleid te accepteren. |
9 |
Op de pagina Netwerken selecteren kiest u de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden. |
10 |
Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen :
Indien gewenst kunt u de configuratie van de netwerkinstelling overslaan en de stappen volgen in De VM voor hybride databeveiliging instellen om de instellingen te configureren vanuit de knooppuntconsole. De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 6.5. Deze optie is mogelijk niet beschikbaar in eerdere versies. |
11 |
Klik met de rechtermuisknop op het knooppunt VM en kies .De software voor hybride databeveiliging wordt als gast geïnstalleerd op de VM-host. U bent nu klaar om u aan te melden bij de console en het knooppunt te configureren. Tips voor probleemoplossing U kunt een vertraging van enkele minuten ervaren voordat de knooppuntcontainers omhoog komen. Tijdens de eerste keer opstarten verschijnt een bridge-firewallbericht op de console, waarbij u zich niet kunt aanmelden. |
VM voor hybride databeveiliging instellen
Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en om de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.
1 |
Selecteer in de VMware vSphere-client de VM van uw knooppunt voor hybride databeveiliging en het tabblad Console . De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldingsprompt niet wordt weergegeven, drukt u op Enter.
|
2 |
Gebruik de volgende standaardaanmeldgegevens en -wachtwoorden om u aan te melden en de aanmeldgegevens te wijzigen: Aangezien u zich voor de eerste keer bij uw VM aanmeldt, moet u het beheerderswachtwoord wijzigen. |
3 |
Als u de netwerkinstellingen al hebt geconfigureerd in De HDS-host-OVA installeren, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken . |
4 |
Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund. |
5 |
(Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om overeen te stemmen met uw netwerkbeleid. U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen. |
6 |
Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen worden doorgevoerd. |
De HDS-configuratie-ISO uploaden en koppelen
Voordat u begint
Omdat het ISO-bestand de hoofdsleutel bevat, mag deze alleen worden weergegeven op een 'need to know'-basis, voor toegang door de VM's van hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen deze beheerders toegang hebben tot de gegevensopslag.
1 |
Upload het ISO-bestand vanaf uw computer: |
2 |
Koppel het ISO-bestand: |
De volgende stappen
Als uw IT-beleid dat vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (optioneel) ISO ontkoppelen na HDS-configuratie voor meer informatie.
Configureer het HDS-knooppunt voor proxy-integratie
Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride gegevensbeveiliging. Als u een transparante inspectering proxy of een HTTPS-expliciete proxy kiest, kunt u de interface van het knooppunt gebruiken om de hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding vanuit de interface controleren en mogelijke problemen oplossen.
Voordat u begint
-
Zie Proxyondersteuning voor een overzicht van de ondersteunde proxy-opties.
1 |
Voer de installatie-URL van het HDS-knooppunt |
2 |
Ga naar vertrouwens archieven voor vertrouwde proxyen kies een optie:
Volg de volgende stappen voor een transparante inspectie proxy, een HTTP Explicit-proxy met basisverificatie of een HTTPS-expliciete proxy. |
3 |
Klik op een hoofdcertificaat of eindentiteit certificaat uploadenen navigeer vervolgens naar een kies de hoofdcertificaat voor de proxy. Het certificaat is geüpload, maar is nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijlpunt punthaak op de naam van de certificaatuitgever voor meer informatie of klik op verwijderen Als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden. |
4 |
Klik op proxy verbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen. Als de verbindingstest mislukt, wordt er een foutbericht weergegeven met de reden en hoe u het probleem kunt oplossen. Als u een bericht ziet dat de externe DNS-omzetting niet is geslaagd, kan het knooppunt de DNS-server niet bereiken. Deze situatie wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de geblokkeerde externe DNS-omzettingsmodus. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u vervolgens Modus voor geblokkeerde externe DNS-resolutie uitschakelen. |
5 |
Nadat de verbindingstest is geslaagd, voor expliciete proxy ingesteld op alleen https, schakelt u het in-/uitschakelen in om alle poort 443/444 HTTPS-aanvragen van dit knooppunt te routeren via de expliciete proxy. Deze instelling vereist 15 seconden om van kracht te worden. |
6 |
Klik op alle certificaten installeren in het vertrouwde archief (wordt weergegeven voor een HTTPS-expliciete proxy of een transparante inspectie proxy) of opnieuw opstarten (wordt weergegeven voor een http-expliciete proxy), lees de prompt en klik vervolgens op installeren Als u klaar bent. Het knooppunt wordt binnen een paar minuten opnieuw opgestart. |
7 |
Nadat het knooppunt opnieuw is opgestart, meldt u zich opnieuw aan indien nodig en opent u de overzichts pagina om te controleren of ze allemaal in de groene status zijn. De controle van de proxyverbinding test alleen een subdomein van webex.com. Als er problemen zijn met de verbinding, is een veelvoorkomend probleem dat sommige Cloud domeinen die worden vermeld in de installatie-instructies, worden geblokkeerd op de proxy. |
Het eerste knooppunt in het cluster registreren
Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd voor redundantie.
Voordat u begint
-
Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.
-
Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.
1 |
Meld u aan bij https://admin.webex.com. |
2 |
Selecteer Services in het menu aan de linkerkant van het scherm. |
3 |
Zoek in het gedeelte Hybride services naar Hybride databeveiliging en klik op Instellen. De pagina Knooppunt voor hybride databeveiliging registreren wordt weergegeven.
|
4 |
Selecteer Ja om aan te geven dat u het knooppunt hebt ingesteld en klaar bent om het te registreren. Klik vervolgens op Volgende. |
5 |
Voer in het eerste veld een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen. We raden u aan een cluster een naam te geven op basis van de plaats waar de knooppunten van de cluster zich geografisch bevinden. Voorbeelden: "San Francisco", "New York" of "Dallas" |
6 |
Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Volgende. Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein die u hebt gebruikt in De VM voor hybride databeveiliging instellen. Er wordt een bericht weergegeven dat aangeeft dat u uw knooppunt kunt registreren bij de Webex.
|
7 |
Klik op Naar knooppunt gaan. |
8 |
Klik in het waarschuwingsbericht op Doorgaan . Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.
|
9 |
Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan. Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
|
10 |
Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging van Control Hub. Op de pagina Hybride databeveiliging wordt de nieuwe cluster weergegeven met het knooppunt dat u hebt geregistreerd. Het knooppunt downloadt automatisch de nieuwste software uit de cloud.
|
Meer knooppunten maken en registreren
Op dit moment zijn de back-up-VM's die u hebt gemaakt in Voldoen aan de vereisten voor hybride databeveiliging stand-byhosts die alleen worden gebruikt in het geval van noodherstel. Ze zijn tot dan niet bij het systeem geregistreerd. Zie Noodherstel met stand-bydatacenter voor meer informatie.
Voordat u begint
-
Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.
-
Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.
1 |
Maak een nieuwe virtuele machine van de OVA en herhaal de stappen in De HDS-host-OVA installeren. |
2 |
Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De VM voor hybride databeveiliging instellen. |
3 |
Herhaal op de nieuwe VM de stappen in De HDS-configuratie-ISO uploaden en koppelen. |
4 |
Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Het HDS-knooppunt configureren voor proxyintegratie indien nodig voor het nieuwe knooppunt. |
5 |
Registreer het knooppunt. Uw knooppunt is geregistreerd. Houd er rekening mee dat totdat u een proefperiode start, uw knooppunten een alarm genereren dat aangeeft dat uw service nog niet is geactiveerd.
|
De volgende stappen
Een proefperiode uitvoeren en naar productie gaan
Proces-naar-productietaakstroom
Nadat u een cluster voor hybride databeveiliging hebt ingesteld, kunt u een pilot starten, gebruikers eraan toevoegen en deze gaan gebruiken voor het testen en verifiëren van uw implementatie als voorbereiding op de overgang naar productie.
Voordat u begint
1 |
Synchroniseer indien van toepassing het groepsobject Als uw organisatie adreslijstsynchronisatie voor gebruikers gebruikt, moet u het groepsobject |
2 |
Een proefperiode starten. Totdat u deze taak uitvoert, genereren uw knooppunten een alarm dat aangeeft dat de service nog niet is geactiveerd. |
3 |
Uw implementatie van hybride databeveiliging testen Controleer of belangrijke verzoeken worden doorgegeven aan uw implementatie voor hybride databeveiliging. |
4 |
Hybride databeveiliging controleren Controleer de status en stel e-mailmeldingen in voor alarmen. |
5 | |
6 |
Voltooi de proeffase met een van de volgende acties: |
Proefperiode activeren
Voordat u begint
Als uw organisatie gebruikmaakt van adreslijstsynchronisatie voor gebruikers, moet u het groepsobject HdsTrialGroup
selecteren voor synchronisatie met de cloud, voordat u een proefperiode voor uw organisatie kunt starten. Zie de Implementatiehandleiding voor Cisco Directoryconnector voor instructies.
1 |
Meld u aan bij https://admin.webex.com en selecteer Services. |
2 |
Klik onder Hybride databeveiliging op Instellingen. |
3 |
Klik in het gedeelte Servicestatus op Proefperiode starten. De servicestatus verandert in de proefmodus.
|
4 |
Klik op Gebruikers toevoegen en voer het e-mailadres in van een of meer gebruikers die een pilot moeten uitvoeren met uw knooppunten voor hybride databeveiliging voor encryptie- en indexeringsservices. (Als uw organisatie gebruikmaakt van adreslijstsynchronisatie, gebruikt u Active Directory om de proefperiodegroep |
Uw implementatie van hybride databeveiliging testen
Voordat u begint
-
Stel uw implementatie voor hybride databeveiliging in.
-
Activeer de proefperiode en voeg meerdere proefgebruikers toe.
-
Zorg ervoor dat u toegang hebt tot het syslog om te controleren of belangrijke verzoeken naar uw implementatie voor hybride databeveiliging worden doorgestuurd.
1 |
Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de pilotgebruikers, maak vervolgens een ruimte en nodig ten minste één pilotgebruiker en één niet-pilotgebruiker uit. Als u de implementatie voor hybride databeveiliging deactiveert, is inhoud in ruimten die door pilootgebruikers worden gemaakt, niet meer toegankelijk zodra de kopieën in de cache van de client van de coderingssleutels zijn vervangen. |
2 |
Verzend berichten naar de nieuwe ruimte. |
3 |
Controleer de syslog-uitvoer om te verifiëren of de sleutelverzoeken naar uw implementatie voor hybride databeveiliging gaan. |
Hybride databeveiliging controleren
1 |
Selecteer in Control HubServices in het menu aan de linkerkant van het scherm. |
2 |
Zoek in het gedeelte Hybride services naar Hybride databeveiliging en klik op Instellingen. De pagina Instellingen hybride databeveiliging wordt weergegeven.
|
3 |
Typ in het gedeelte E-mailmeldingen een of meer door komma's gescheiden e-mailadressen en druk op Enter. |
Gebruikers toevoegen aan of verwijderen uit uw proefperiode
Als u een gebruiker uit de proefperiode verwijdert, vraagt de client van de gebruiker sleutels en het maken van sleutels aan uit de cloud-KMS in plaats van uw KMS. Als de client een sleutel nodig heeft die op uw KMS is opgeslagen, haalt KMS deze namens de gebruiker op.
Als uw organisatie adreslijstsynchronisatie gebruikt, gebruikt u Active Directory (in plaats van deze procedure) om de proefgroep HdsTrialGroup
te beheren. U kunt de groepsleden weergeven in Control Hub, maar u kunt ze niet toevoegen of verwijderen.
1 |
Meld u aan bij Control Hub en selecteer Services. |
2 |
Klik onder Hybride databeveiliging op Instellingen. |
3 |
Klik in het gedeelte Proefmodus van het gedeelte Servicestatus op Gebruikers toevoegen of klik op Weergeven en bewerken om gebruikers uit de proefperiode te verwijderen. |
4 |
Voer het e-mailadres van een of meer gebruikers in die u wilt toevoegen, of klik op de X bij een gebruikers-id om de gebruiker uit de proefperiode te verwijderen. Klik vervolgens op Opslaan. |
Verplaatsen van proefperiode naar productie
1 |
Meld u aan bij Control Hub en selecteer Services. |
2 |
Klik onder Hybride databeveiliging op Instellingen. |
3 |
Klik in het gedeelte Servicestatus op Verplaatsen naar productie. |
4 |
Bevestig dat u al uw gebruikers wilt verplaatsen naar productie. |
Uw proefperiode beëindigen zonder over te stappen op productie
1 |
Meld u aan bij Control Hub en selecteer Services. |
2 |
Klik onder Hybride databeveiliging op Instellingen. |
3 |
Klik in het gedeelte Deactiveren op Deactiveren. |
4 |
Bevestig dat u de service wilt deactiveren en beëindig de proefperiode. |
Uw HDS-implementatie beheren
HDS-implementatie beheren
Gebruik de taken die hier worden beschreven om uw implementatie van hybride databeveiliging te beheren.
Planning van clusterupgrade instellen
De upgradeplanning instellen:
1 |
Meld u aan Control Hub. |
2 |
Selecteer Hybride databeveiliging onder Hybride services op de pagina Overzicht. |
3 |
Selecteer het cluster op de pagina Resources hybride databeveiliging. |
4 |
Selecteer de clusternaam in het deelvenster Overzicht aan de rechterkant, onder Clusterinstellingen. |
5 |
Selecteer op de pagina Instellingen bij Upgrade de tijd en tijdzone voor de upgradeplanning. Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen tot de volgende dag door op Uitstellen te klikken. |
De knooppuntconfiguratie wijzigen
-
X.509-certificaten wijzigen vanwege vervaldatum of andere redenen.
We ondersteunen het wijzigen van de CN-domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om de cluster te registreren.
-
Database-instellingen bijwerken om te wijzigen in een kopie van de PostgreSQL- of Microsoft SQL Server-database.
We ondersteunen het migreren van gegevens van PostgreSQL naar Microsoft SQL Server niet, of op de omgekeerde manier. Als u wilt schakelen tussen de databaseomgevingen, moet u een nieuwe implementatie van hybride databeveiliging starten.
-
Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.
Bovendien gebruikt Hybride databeveiliging voor beveiligingsdoeleinden wachtwoorden voor serviceaccounts die een levensduur van negen maanden hebben. Nadat de HDS-setuptool deze wachtwoorden heeft gegenereerd, implementeert u deze in uw HDS-knooppunten in het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een melding van het Webex-team om het wachtwoord voor uw machineaccount opnieuw in te stellen. (Het e-mailbericht bevat de tekst: 'Gebruik het machineaccount API om het wachtwoord bij te werken.') Als uw wachtwoord nog niet is verlopen, geeft de tool u twee opties:
-
Zachte reset: de oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO-bestand op de knooppunten stapsgewijs te vervangen.
-
Harde reset: de oude wachtwoorden werken niet direct meer.
Als uw wachtwoorden verlopen zonder opnieuw in te stellen, is dit van invloed op uw HDS-service, waarvoor onmiddellijke harde reset en vervanging van het ISO-bestand op alle knooppunten nodig is.
Gebruik deze procedure om een nieuw ISO-configuratiebestand te genereren en dit toe te passen op uw cluster.
Voordat u begint
-
De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Control Hub-account met volledige beheerdersrechten voor uw organisatie vereist.
Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container in 1.e opent. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:
Beschrijving
Variabele
HTTP-proxy zonder verificatie
GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT
HTTPS-proxy zonder verificatie
GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT
HTTP-proxy met verificatie
GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT
HTTPS-proxy met verificatie
GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT
-
U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel voor de versleuteling van PostgreSQL of Microsoft SQL Server-database. U hebt de ISO nodig wanneer u configuratiewijzigingen aan aanbrengen, waaronder databasereferenties, certificaatupdates of wijzigingen aan autorisatiebeleid.
1 |
Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt. |
2 |
Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor hybride databeveiliging en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies. |
3 |
Voor bestaande HDS-knooppunten waar het oudere configuratiebestand op wordt uitgevoerd, moet u het ISO-bestand onder brengen. Voer de volgende procedure uit op elk knooppunt. Werk elk knooppunt bij voordat u het volgende knooppunt uit schakelen: |
4 |
Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen. |
Geblokkeerde externe DNS-omzettingsmodus uitschakelen
Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. Als de DNS-server van het knooppunt geen publieke DNS-namen kan omzetten, wordt het knooppunt automatisch in de geblokkeerde externe DNS-omzettingsmodus geplaatst.
Als uw knooppunten publieke DNS-namen kunnen omzetten via interne DNS-servers, kunt u deze modus uitschakelen door de proxy verbindingstest opnieuw uit te voeren op elk knooppunt.
Voordat u begint
1 |
Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/setup, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt instelt en klik vervolgens op Aanmelden. |
2 |
Ga naar overzicht (de standaardpagina). Indien ingeschakeld, wordt de geblokkeerde externe DNS-omzetting ingesteld op Ja. |
3 |
Ga naar de pagina vertrouwde winkel >-proxy . |
4 |
Klik op proxy verbinding controleren. Als er een bericht wordt weergegeven met de melding dat de externe DNS-omzetting niet is geslaagd, is het knooppunt niet in staat om de DNS-server te bereiken en blijft deze in deze modus. Anders moet de geblokkeerde externe DNS-omzetting worden ingesteld op Nee als u het knooppunt opnieuw hebt opgestart en teruggaat naar de overzichtspagina. |
De volgende stappen
Een knooppunt verwijderen
1 |
Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en schakel de virtuele machine uit. |
2 |
Verwijder het knooppunt: |
3 |
Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.) Als u de VM niet verwijdert, vergeet dan niet om het ISO-configuratiebestand te ontkoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken voor toegang tot uw beveiligingsgegevens. |
Noodherstel met behulp van stand-bydatacenter
De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt om berichten en andere inhoud die is opgeslagen in de Webex-cloud te coderen. Voor elke gebruiker in de organisatie die is toegewezen aan hybride databeveiliging, worden aanvragen voor het maken van nieuwe sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de gemaakte sleutels aan alle gebruikers die bevoegd zijn om deze op te halen, bijvoorbeeld leden van een gespreksruimte.
Omdat het cluster de kritieke functie uitvoert voor het leveren van deze sleutels, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden onderhouden. Verlies van de database voor hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van klantinhoud. Om dergelijk verlies te voorkomen, zijn de volgende praktijken verplicht:
Als de HDS-implementatie in het primaire datacenter niet beschikbaar wordt door een ramp, volgt u deze procedure om handmatig failover naar het stand-bydatacenter te maken.
1 |
Start de HDS-setuptool en volg de stappen die worden vermeld in Een configuratie-ISO voor de HDS-hosts maken. |
2 |
Nadat u de Syslogd-server hebt geconfigureerd, klikt u op Geavanceerde instellingen |
3 |
Voeg op de pagina Geavanceerde instellingen de onderstaande configuratie toe of verwijder de configuratie
|
4 |
Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op. |
5 |
Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen. |
6 |
Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken. |
7 |
Klik op Instellingen bewerken >CD/DVD-station 1 en selecteer ISO-gegevensopslagbestand. Zorg ervoor dat Verbonden en Verbinding maken bij inschakelen zijn ingeschakeld, zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart. |
8 |
Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 15 minuten geen alarmen zijn. |
9 |
Herhaal het proces voor elk knooppunt in het stand-bydatacenter. Controleer de syslog-uitvoer om te verifiëren of de knooppunten van het standby-datacenter zich niet in de passieve modus bevinden. 'KMS geconfigureerd in passieve modus' mag niet in de syslogs worden weergegeven. |
De volgende stappen
(Optioneel) ISO ontkoppelen na HDS-configuratie
De standaard HDS-configuratie wordt uitgevoerd met de aangekoppelde ISO. Sommige klanten geven er echter de voorkeur aan dat ISO-bestanden niet continu worden gekoppeld. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.
U gebruikt nog steeds de ISO-bestanden om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de setuptool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra alle knooppunten de configuratiewijzigingen hebben opgehaald, kunt u de ISO opnieuw loskoppelen met deze procedure.
Voordat u begint
Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.
1 |
Sluit een van uw HDS-knooppunten af. |
2 |
Selecteer het HDS-knooppunt in het vCenter Server Appliance. |
3 |
Kies ISO-gegevensopslagbestand uit. en schakel |
4 |
Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 20 minuten geen alarmen zijn. |
5 |
Herhaal om de beurt voor elk HDS-knooppunt. |
Problemen met hybride databeveiliging oplossen
Waarschuwingen weergeven en problemen oplossen
Een implementatie van Hybride databeveiliging wordt als niet beschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als de cluster zo langzaam werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:
-
Er kunnen geen nieuwe ruimten worden gemaakt (kan geen nieuwe sleutels maken)
-
Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:
-
Nieuwe gebruikers die aan een ruimte zijn toegevoegd (kunnen geen sleutels ophalen)
-
Bestaande gebruikers in een ruimte met een nieuwe client (kunnen geen sleutels ophalen)
-
-
Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben
Het is belangrijk dat u uw cluster voor hybride databeveiliging goed controleert en alle waarschuwingen onmiddellijk adresseert om onderbreking van de service te voorkomen.
Waarschuwingen
Als er een probleem is met de configuratie van hybride databeveiliging, geeft Control Hub waarschuwingen weer aan de organisatiebeheerder en verzendt u e-mails naar het geconfigureerde e-mailadres. De waarschuwingen behandelen veel algemene scenario's.
Waarschuwing |
Actie |
---|---|
Lokale databasetoegang mislukt. |
Controleer op databasefouten of problemen met het lokale netwerk. |
Verbinding met lokale database mislukt. |
Controleer of de databaseserver beschikbaar is en of de juiste referenties van het serviceaccount zijn gebruikt in de knooppuntconfiguratie. |
Toegang tot cloudservice mislukt. |
Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Vereisten voor externe connectiviteit. |
De registratie van cloudservice wordt verlengd. |
Registratie bij cloudservices is verbroken. De registratie wordt verlengd. |
Registratie van cloudservice verbroken. |
Registratie bij cloudservices is beëindigd. Service wordt afgesloten. |
Service nog niet geactiveerd. |
Activeer een proefperiode of voltooi het verplaatsen van de proefperiode naar productie. |
Het geconfigureerde domein komt niet overeen met het servercertificaat. |
Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein. De meest waarschijnlijke oorzaak is dat de algemene naam van het certificaat onlangs is gewijzigd en nu anders is dan de algemene naam die tijdens de eerste installatie is gebruikt. |
Kan niet verifiëren bij cloudservices. |
Controleer op de nauwkeurigheid en mogelijke vervaldatum van de referenties van het serviceaccount. |
Openen van lokaal keystore-bestand is mislukt. |
Controleer op integriteit en wachtwoordnauwkeurigheid in het lokale keystore-bestand. |
Het lokale servercertificaat is ongeldig. |
Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie. |
Kan statistieken niet plaatsen. |
Controleer de toegang van het lokale netwerk tot externe cloudservices. |
De map /media/configdrive/hds bestaat niet. |
Controleer de ISO-koppelconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om te koppelen bij opnieuw opstarten en of het met succes wordt gekoppeld. |
Problemen met hybride databeveiliging oplossen
1 |
Controleer Control Hub voor waarschuwingen en los alle items op die u daar vindt. |
2 |
Controleer de uitvoer van de Syslog-server voor activiteit van de implementatie van hybride databeveiliging. |
3 |
Neem contact op met Cisco-ondersteuning. |
Andere opmerkingen
Bekende problemen voor hybride databeveiliging
-
Als u uw cluster voor hybride databeveiliging uitschakelt (door deze te verwijderen in Control Hub of door alle knooppunten uit te sluiten), uw ISO-configuratiebestand verliest of de toegang tot de keystore-database verliest, kunnen uw gebruikers van de Webex-app geen ruimten meer gebruiken onder hun lijst Personen die zijn gemaakt met sleutels van uw KMS. Dit geldt voor zowel proef- als productie-implementaties. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en we verzoeken u dringend uw HDS-services niet te beëindigen zodra deze actieve gebruikersaccounts afhandelen.
-
Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een bepaalde tijd (waarschijnlijk één uur). Wanneer een gebruiker lid wordt van een proefversie voor hybride databeveiliging, blijft de client van de gebruiker de bestaande ECDH-verbinding gebruiken totdat deze een time-out heeft. De gebruiker kan zich ook afmelden en weer aanmelden bij de Webex-app om de locatie bij te werken waarmee de app contact maakt voor coderingssleutels.
Hetzelfde gedrag doet zich voor wanneer u een proefperiode verplaatst naar productie voor de organisatie. Alle gebruikers zonder proefperiode met bestaande ECDH-verbindingen met de vorige services voor gegevensbeveiliging blijven deze services gebruiken totdat er opnieuw over de ECDH-verbinding is onderhandeld (via time-out of door u af te melden en weer aan te melden).
OpenSSL gebruiken om een PKCS12-bestand te genereren
Voordat u begint
-
OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS-setuptool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten de ene weg niet boven de andere.
-
Als u ervoor kiest OpenSSL te gebruiken, bieden we deze procedure als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.
-
Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.
-
Maak een privésleutel.
-
Start deze procedure wanneer u het servercertificaat ontvangt van uw certificerende instantie (CA).
1 |
Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als |
2 |
Geef het certificaat weer als tekst en verifieer de details.
|
3 |
Gebruik een tekstverwerker om een certificaatbundelbestand met de naam
|
4 |
Maak het .p12-bestand met de beschrijvende naam
|
5 |
Controleer de details van het servercertificaat. |
De volgende stappen
Keer terug naar Aan de vereisten voor hybride databeveiliging voldoen. U gebruikt het bestand hdsnode.p12
en het wachtwoord dat u ervoor hebt ingesteld in Een configuratie-ISO voor de HDS-hosts maken.
U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.
Verkeer tussen de HDS-knooppunten en de cloud
Verzamelverkeer uitgaande statistieken
De knooppunten voor hybride databeveiliging verzenden bepaalde statistieken naar de Webex-cloud. Hieronder vallen systeemstatistieken voor max. heap, gebruikte heap, CPU-belasting en threadtelling; statistieken op synchrone en asynchrone threads; statistieken over waarschuwingen met een drempel voor coderingsverbindingen, latentie of een aanvraagwachtrijlengte; statistieken in de gegevensopslag; en statistieken voor coderingsverbinding. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (afzonderlijk van het verzoek) kanaal.
Inkomend verkeer
De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer van de Webex-cloud:
-
Coderingsverzoeken van clients, die door de coderingsservice worden gerouteerd
-
Upgrades van de knooppuntsoftware
Het configureren van inktvis-Proxy's voor hybride data beveiliging
WebSocket kan geen verbinding maken via de inktvis-proxy
Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:
) verstoren die vereist zijn voor hybride databeveiliging. Deze secties bevatten leidraden voor het configureren van verschillende versies van inktvis om WSS te negeren:
verkeer voor de juiste werking van de services.
Pijlinktvis 4 en 5
Voeg de on_unsupported_protocol
richtlijn toe aan squid.conf
:
on_unsupported_protocol alles tunnel
Inktvis 3.5.27
De hybride gegevensbeveiliging is getest met de volgende regels die zijn toegevoegd aan inktvis. conf
. Deze regels kunnen worden gewijzigd wanneer we functies ontwikkelen en de Webex Cloud bijwerken.
acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl stap1 at_step SslBump1 acl stap2 at_step SslBump2 acl stap3 at_step SslBump3 ssl_bump bekijk stap1 alle ssl_bump staren stap2 alle ssl_bump bump stap3 alle