In dit artikel
dropdown icon
Nieuwe en gewijzigde informatie
    Nieuwe en gewijzigde informatie
dropdown icon
Aan de slag met Multi-Tenant Hybrid Data Security
    dropdown icon
    Overzicht van hybride gegevensbeveiliging voor meerdere tenants
      Hoe Multi-Tenant Hybrid Data Security zorgt voor datasoevereiniteit en datacontrole
      Beperkingen van hybride gegevensbeveiliging voor meerdere tenants
      Rollen in multi-tenant hybride gegevensbeveiliging
    dropdown icon
    Beveiligingsdomeinarchitectuur
      Realms of Separation (zonder hybride gegevensbeveiliging)
    Samenwerken met andere organisaties
    Verwachtingen voor de implementatie van hybride gegevensbeveiliging
    Hoogwaardig installatieproces
    dropdown icon
    Hybride implementatiemodel voor gegevensbeveiliging
      Hybride implementatiemodel voor gegevensbeveiliging
    dropdown icon
    Standby Data Center voor Disaster Recovery
      Handmatige failover naar standby datacenter
    Proxy-ondersteuning
dropdown icon
Uw omgeving voorbereiden
    dropdown icon
    Vereisten voor hybride gegevensbeveiliging voor meerdere tenants
      Cisco Webex-licentievereisten
      Docker Desktop-vereisten
      X.509-certificaatvereisten
      Vereisten voor virtuele hosts
      Vereisten voor databaseservers
      Vereisten voor externe connectiviteit
      Vereisten voor de proxy server
    Voltooi de vereisten voor hybride gegevensbeveiliging
dropdown icon
Een hybride databeveiligingscluster instellen
    Taakstroom voor implementatie van hybride gegevensbeveiliging
    Voer de eerste installatie uit en download de installatiebestanden
    Maak een configuratie-ISO voor de HDS-hosts
    Installeer de HDS Host OVA
    De Hybrid Data Security VM instellen
    Upload en koppel de HDS-configuratie-ISO
    Configureer het HDS-knooppunt voor proxy-integratie
    Registreer het eerste knooppunt in het cluster
    Meer knooppunten aanmaken en registreren
dropdown icon
Beheer tenantorganisaties op Multi-Tenant Hybrid Data Security
    Activeer Multi-Tenant HDS op Partner Hub
    Tenantorganisaties toevoegen in Partner Hub
    Maak Customer Main Keys (CMK's) aan met behulp van de HDS-installatietool
    Tenantorganisaties verwijderen
    CMK's intrekken van huurders die uit HDS zijn verwijderd.
dropdown icon
Test uw Hybrid Data Security-implementatie
    Test uw hybride databeveiligingsimplementatie
    Controleer de status van hybride gegevensbeveiliging
dropdown icon
Beheer uw HDS-implementatie
    HDS-implementatie beheren
    Clusterupgradeschema instellen
    De knooppuntconfiguratie wijzigen
    Geblokkeerde externe DNS-omzettingsmodus uitschakelen
    Een knooppunt verwijderen
    Herstel na een ramp met behulp van een standby-datacenter
    (Optioneel) ISO ontkoppelen na HDS-configuratie
dropdown icon
Problemen met hybride gegevensbeveiliging oplossen
    Bekijk waarschuwingen en los problemen op
    dropdown icon
    Waarschuwingen
      Veelvoorkomende problemen en de stappen om ze op te lossen
    Problemen met hybride gegevensbeveiliging oplossen
dropdown icon
Overige opmerkingen
    Bekende problemen met hybride gegevensbeveiliging
    Voer de HDS-installatietool uit met Podman Desktop
    dropdown icon
    Verplaats de bestaande single-tenant HDS-implementatie van een partnerorganisatie in Control Hub naar een Multi-Tenant HDS-configuratie in Partner Hub
      HDS deactiveren, knooppunten deregistreren en cluster verwijderen in Control Hub
      Activeer Multi-Tenant HDS voor de partnerorganisatie op Partner Hub en voeg klanten toe
    Gebruik OpenSSL om een PKCS12-bestand te genereren
    Verkeer tussen de HDS-knooppunten en de cloud
    dropdown icon
    Het configureren van inktvis-Proxy's voor hybride data beveiliging
      WebSocket kan geen verbinding maken via de inktvis-proxy
dropdown icon
Deactiveer Multi-Tenant Hybrid Data Security
    Multi-Tenant HDS-deactiveringstaakstroom

Implementatiehandleiding voor Multi-Tenant Hybrid Data Security (HDS) (bèta)

list-menuIn dit artikel
list-menuFeedback?

Nieuwe en gewijzigde informatie

Nieuwe en gewijzigde informatie

Deze tabel bevat nieuwe functies of functionaliteiten, wijzigingen in bestaande inhoud en belangrijke fouten die zijn opgelost in de Implementatiehandleiding voor hybride databeveiliging met meerdere tenants.

Datum

Wijzigingen aangebracht

13 december 2024

Eerste release.

Hybride databeveiliging met meerdere tenants deactiveren

Taakstroom voor deactivering van HDS met meerdere tenants

Volg deze stappen om HDS met meerdere tenants volledig te deactiveren.

Voordat u begint

Deze taak mag alleen worden uitgevoerd door een volledige partnerbeheerder.
1

Verwijder alle klanten uit al uw clusters, zoals vermeld in Tenantorganisaties verwijderen.

2

Trek de CMK's van alle klanten in, zoals vermeld in CMK's van tenants die zijn verwijderd uit HDS intrekken..

3

Verwijder alle knooppunten uit al uw clusters, zoals vermeld in Een knooppunt verwijderen.

4

Verwijder al uw clusters uit Partnerhub met een van de volgende twee methoden.

  • Klik op het cluster dat u wilt verwijderen en selecteer Dit cluster verwijderen in de rechterbovenhoek van de overzichtspagina.
  • Klik op de pagina Resources op ... aan de rechterkant van een cluster en selecteer Cluster verwijderen.
5

Klik op het tabblad Instellingen op de overzichtspagina Hybride databeveiliging en klik op HDS deactiveren op de HDS-statuskaart.

Aan de slag met hybride databeveiliging voor meerdere tenants

Overzicht van hybride databeveiliging met meerdere tenants

Vanaf dag één is gegevensbeveiliging de primaire focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end-inhoudscodering, ingeschakeld door clients van de Webex-app die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografiesleutels die clients gebruiken om berichten en bestanden dynamisch te coderen en te decoderen.

Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride databeveiliging verplaatst de KMS en andere beveiligingsgerelateerde functies naar uw bedrijfsdatacenter, dus niemand maar u beschikt over de sleutels voor uw gecodeerde inhoud.

Met Hybride databeveiliging voor meerdere tenants kunnen organisaties HDS gebruiken via een vertrouwde lokale partner, die kan optreden als serviceprovider en codering en andere beveiligingsservices op locatie kan beheren. Met deze instelling kan de partnerorganisatie volledige controle hebben over de implementatie en het beheer van coderingssleutels en zorgen ervoor dat gebruikersgegevens van klantorganisaties veilig zijn tegen externe toegang. Partnerorganisaties stellen HDS-instanties in en maken indien nodig HDS-clusters. Elk exemplaar kan meerdere klantorganisaties ondersteunen, in tegenstelling tot een reguliere HDS-implementatie die beperkt is tot één organisatie.

Hoewel partnerorganisaties de implementatie en het beheer onder controle hebben, hebben ze geen toegang tot gegevens en inhoud die door klanten zijn gegenereerd. Deze toegang is beperkt tot klantorganisaties en hun gebruikers.

Hierdoor kunnen kleinere organisaties ook HDS gebruiken, omdat sleutelbeheerservice en beveiligingsinfrastructuur zoals datacenters eigendom zijn van de vertrouwde lokale partner.

Hoe hybride databeveiliging met meerdere tenants gegevenssoevereiniteit en gegevenscontrole biedt

  • Door gebruikers gegenereerde inhoud wordt beschermd tegen externe toegang, zoals cloudserviceproviders.
  • Lokale vertrouwde partners beheren de coderingssleutels van klanten met wie ze al een bestaande relatie hebben.
  • Optie voor lokale technische ondersteuning, indien verstrekt door de partner.
  • Ondersteunt inhoud voor vergaderingen, berichten en gesprekken.

Dit document is bedoeld om partnerorganisaties te helpen bij het instellen en beheren van klanten onder een systeem voor hybride databeveiliging met meerdere tenants.

Rollen in hybride databeveiliging met meerdere tenants

  • Volledige partnerbeheerder : kan instellingen beheren voor alle klanten die de partner beheert. Kan ook beheerdersrollen toewijzen aan bestaande gebruikers in de organisatie en specifieke klanten toewijzen die moeten worden beheerd door partnerbeheerders.
  • Partnerbeheerder : kan instellingen beheren voor klanten die door de beheerder zijn ingericht of die aan de gebruiker zijn toegewezen.
  • Volledige beheerder - Beheerder van de partnerorganisatie die bevoegd is om taken uit te voeren zoals het wijzigen van organisatie-instellingen, het beheren van licenties en het toewijzen van rollen.
  • End-to-end installatie en beheer van alle klantorganisaties met meerdere tenants : volledige partnerbeheerder en volledige beheerdersrechten vereist.
  • Beheer van toegewezen tenantorganisaties : partnerbeheerders en volledige beheerdersrechten vereist.

Architectuur beveiligingsrealm

De Webex-cloudarchitectuur scheidt verschillende typen services in verschillende realms of vertrouwensdomeinen, zoals hieronder afgebeeld.

Gescheiden ruimten (zonder hybride databeveiliging)

Laten we voor meer informatie over hybride databeveiliging eerst naar deze pure cloudcase kijken, waarbij Cisco alle functies in zijn clouddomeinen biedt. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks gecorreleerd kunnen worden met hun persoonlijke informatie, zoals hun e-mailadres, staat logischerwijs en fysiek los van de beveiligingsruimte in datacenter B. Beide staan op hun beurt los van de ruimte waar gecodeerde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

In dit diagram is de client de Webex-app die op de laptop van een gebruiker wordt uitgevoerd en is de identiteitsservice geverifieerd. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

  1. De client brengt een beveiligde verbinding tot stand met de sleutelbeheerservice (KMS) en vraagt vervolgens een sleutel aan om het bericht te coderen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

  2. Het bericht wordt gecodeerd voordat het de client verlaat. De client verzendt deze naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

  3. Het gecodeerde bericht wordt naar de nalevingsservice verzonden voor nalevingscontroles.

  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

Wanneer u hybride databeveiliging implementeert, verplaatst u de functies van de beveiligingsregio (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de rijken van Cisco.

Samenwerken met andere organisaties

Gebruikers in uw organisatie kunnen regelmatig de Webex-app gebruiken om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, leidt uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS op te halen. Vervolgens stuurt u de sleutel terug naar uw gebruiker op het oorspronkelijke kanaal.

De KMS-service die op Organisatie A wordt uitgevoerd, valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat dat u wilt gebruiken met uw implementatie van hybride databeveiliging met meerdere tenants.

Verwachtingen voor het implementeren van hybride databeveiliging

Een implementatie van Hybride databeveiliging vereist aanzienlijke inzet en een besef van de risico's die verbonden zijn aan het bezitten van coderingssleutels.

Voor het implementeren van hybride databeveiliging moet u het volgende opgeven:

Volledig verlies van de configuratie-ISO die u voor hybride databeveiliging maakt of de database die u opgeeft, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers ruimte-inhoud en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar is alleen nieuwe inhoud zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

  • Beheer de back-up en het herstel van de database en de configuratie-ISO.

  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing van de databaseselectie of een ramp in een datacenter.

Er is geen mechanisme om sleutels terug naar de cloud te verplaatsen na een HDS-implementatie.

Installatieproces op hoog niveau

In dit document worden de installatie en het beheer van een implementatie van hybride databeveiliging met meerdere tenants behandeld:

  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het bouwen van een HDS-cluster, het toevoegen van tenantorganisaties aan de cluster en het beheren van hun Customer Main Keys (CMK's). Hiermee kunnen alle gebruikers van uw klantorganisaties uw cluster voor hybride databeveiliging gebruiken voor beveiligingsfuncties.

    De installatie-, activerings- en beheerfasen worden in detail behandeld in de volgende drie hoofdstukken.

  • Uw implementatie van hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch doorlopende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig contact opnemen met Cisco-ondersteuning. U kunt meldingen op het scherm gebruiken en waarschuwingen op basis van e-mail instellen in Partner Hub.

  • Algemene waarschuwingen, stappen voor het oplossen van problemen en bekende problemen begrijpen: als u problemen ondervindt met het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen bij het bepalen en oplossen van het probleem.

Implementatiemodel voor hybride databeveiliging

In uw bedrijfsdatacenter implementeert u hybride databeveiliging als een enkele cluster knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

Tijdens het installatieproces voorzien we u van het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt koppelt. Het cluster voor hybride databeveiliging gebruikt uw opgegeven Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de Syslogd- en databaseverbindingsgegevens in de HDS-setuptool.)

Implementatiemodel voor hybride databeveiliging

Het minimum aantal knooppunten dat u in een cluster kunt hebben, is twee. We raden ten minste drie per cluster aan. Het hebben van meerdere knooppunten zorgt ervoor dat de service niet wordt onderbroken tijdens een software-upgrade of andere onderhoudsactiviteiten op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

Alle knooppunten in een cluster hebben toegang tot dezelfde belangrijke gegevensopslag en logboekactiviteit tot dezelfde syslog-server. De knooppunten zelf zijn staatloos en handelen sleutelverzoeken af op ronde-robin-manier, zoals aangegeven door de cloud.

Knooppunten worden actief wanneer u ze registreert in Partner Hub. Als u een afzonderlijk knooppunt uit dienst wilt nemen, kunt u de registratie ongedaan maken en later indien nodig opnieuw registreren.

Stand-by-datacenter voor noodherstel

Tijdens de implementatie stelt u een beveiligd stand-by datacenter in. In het geval van een datacenterramp kunt u de implementatie handmatig naar het stand-bydatacenter mislukken.

Vóór de failover heeft Datacenter A actieve HDS-knooppunten en de primaire PostgreSQL- of Microsoft SQL-serverdatabase, terwijl B een kopie heeft van het ISO-bestand met aanvullende configuraties, VM's die bij de organisatie zijn geregistreerd en een stand-bydatabase. Na failover heeft datacenter B actieve HDS-knooppunten en de primaire database, terwijl A niet-geregistreerde VM's en een kopie van het ISO-bestand heeft en de database in de stand-bymodus staat.
Handmatig failover naar stand-bydatacenter

De databases van de actieve en stand-bydatacenters zijn gesynchroniseerd met elkaar, waardoor de tijd die nodig is om de failover uit te voeren, wordt geminimaliseerd.

De actieve knooppunten voor hybride databeveiliging moeten zich altijd in hetzelfde datacenter bevinden als de actieve databaseserver.

Proxy ondersteuning

Hybride gegevensbeveiliging biedt ondersteuning voor expliciete, transparante inspectie en het niet-geïnspecteerde proxy's. U kunt deze proxy's koppelen aan uw implementatie zodat u verkeer van de onderneming kunt beveiligen en controleren naar de Cloud. U kunt een platformbeheer interface gebruiken op de knooppunten voor certificaatbeheer en de algehele verbindingsstatus controleren nadat u de proxy op de knooppunten hebt ingesteld.

De knooppunten voor hybride data beveiliging ondersteunen de volgende proxy opties:

  • Geen proxy: de standaard als u het HDS-knooppunt niet gebruikt, stelt u de vertrouwensarchief- en proxyconfiguratie in om een proxy te integreren. Er is geen certificaat update vereist.

  • Transparante proxy zonder inspectie: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres en hoeven geen wijzigingen te vereisen om te werken met een proxy zonder inspectie. Er is geen certificaat update vereist.

  • Transparent tunneling of inspecting proxy: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres. Er zijn geen HTTP-of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).

  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welke proxyserver en verificatieschema moeten worden gebruikt. Als u een expliciete proxy wilt configureren, moet u op elk knooppunt de volgende informatie invoeren:

    1. Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.

    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.

    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

      • HTTP: alle aanvragen die de client verzendt, worden weergegeven en beheerd.

      • HTTPS: geeft een kanaal aan de server. De client ontvangt en valideert het certificaat van de server.

    4. Verificatietype: kies uit de volgende verificatietypen:

      • Geen: geen verdere verificatie is vereist.

        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.

        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

        Alleen beschikbaar als u HTTPS als proxy protocol selecteert.

        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

Voorbeeld van knooppunten en proxy voor hybride data beveiliging

Dit diagram toont een voorbeeld van een verbinding tussen de hybride gegevensbeveiliging, het netwerk en een proxy. Voor de instellingen voor transparant inspecteren en HTTPS expliciet controleren, moeten dezelfde hoofdcertificaat op de proxy en op de knooppunten voor hybride data beveiliging worden geïnstalleerd.

Geblokkeerde externe DNS-omzettingsmodus (expliciete proxy configuraties)

Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. In implementaties met expliciete proxyconfiguraties die geen externe DNS-omzetting voor interne clients toestaan, als het knooppunt de DNS-servers niet kan opvragen, wordt de geblokkeerde externe DNS-omzettingsmodus automatisch ingeschakeld. In deze modus kan de registratie van knooppunten en andere proxy connectiviteitstests worden voortgezet.

Uw omgeving voorbereiden

Vereisten voor hybride databeveiliging met meerdere tenants

Cisco Webex-licentievereisten

Hybride databeveiliging met meerdere tenants implementeren:

  • Partnerorganisaties: Neem contact op met uw Cisco-partner of accountmanager en zorg ervoor dat de functie voor meerdere tenants is ingeschakeld.

  • Tenantorganisaties: U moet het Pro-pakket voor Cisco Webex Control Hub hebben. (Zie https://www.cisco.com/go/pro-pack.)

X.509-certificaatvereisten

De certificaatketen moet aan de volgende vereisten voldoen:

Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

Vereiste

Details

  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

Standaard vertrouwen we de CA's in de lijst met Mozilla (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

  • Draagt een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

  • Is geen wildcardcertificaat

De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die overeenkomt met uw organisatie, bijvoorbeeld hds.bedrijf.com.

De algemene naam mag geen * (jokerteken) bevatten.

De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren naar Webex-app-clients. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

Wanneer u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam.

  • Niet-SHA1-handtekening

De KMS-software biedt geen ondersteuning voor SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

  • Opgemaakt als een met een wachtwoord beveiligd PKCS #12-bestand

  • Gebruik de beschrijvende naam kms-private-key om het certificaat, de privésleutel en eventuele aanvullende certificaten te taggen om te uploaden.

U kunt een conversieprogramma zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

U moet het wachtwoord invoeren wanneer u de HDS-setuptool uitvoert.

De KMS-software dwingt geen beperkingen op het sleutelgebruik of het uitgebreide sleutelgebruik af. Sommige certificeringsinstanties vereisen dat uitgebreide gebruiksbeperkingen voor elk certificaat worden toegepast, zoals serververificatie. Het is oké om de serververificatie of andere instellingen te gebruiken.

Vereisten voor virtuele host

De virtuele hosts die u als knooppunten voor hybride databeveiliging in uw cluster instelt, hebben de volgende vereisten:

  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich samen in hetzelfde beveiligde datacenter bevinden

  • VMware ESXi 6.5 (of hoger) is geïnstalleerd en wordt uitgevoerd.

    Als u een eerdere versie van ESXi hebt, moet u upgraden.

  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

Vereisten voor databaseserver

Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. De HDS-toepassingen maken na installatie het databaseschema.

Er zijn twee opties voor databaseserver. De vereisten voor elk ervan zijn als volgt:

Tabel 2. Vereisten voor databaseserver per type database

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

  • SQL Server 2016, 2017 of 2019 (Enterprise of Standaard) geïnstalleerd.

    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten)

Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten)

De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

PostgreSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

SQL Server JDBC-stuurprogramma 4.6

Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover-clusterinstanties en Always On-beschikbaarheidsgroepen).

Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

  • De HDS-knooppunten, de Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees- en schrijftoegang hebben tot de database.

  • De DNS-servers die u aan HDS-knooppunten verstrekt, moeten uw Key Distribution Center (KDC) kunnen oplossen.

  • U kunt het exemplaar van de HDS-database op uw Microsoft SQL-server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een hoofdnaam voor de service registreren voor Kerberos-verbindingen.

    De HDS-setuptool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de details uit uw ISO-configuratie om de SPN te maken wanneer ze toegang aanvragen met Kerberos-verificatie.

Vereisten voor externe connectiviteit

Configureer uw firewall om de volgende connectiviteit voor de HDS-toepassingen toe te staan:

Toepassing

Protocol

Poort

Richting vanuit app

Bestemming

Knooppunten voor hybride databeveiliging

TCP

443

Uitgaande HTTPS en WSS

  • Webex-servers:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-hosts

  • Andere URL's die voor hybride databeveiliging worden vermeld in de tabel Aanvullende URL's voor hybride Webex-services met Netwerkvereisten voor Webex-services

HDS-setuptool

TCP

443

Uitgaande HTTPS

  • *.wbx2.com

  • Alle Common Identity-hosts

  • hub.docker.com

De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de vorige tabel toestaat. Voor verbindingen die inkomend naar de knooppunten voor hybride databeveiliging gaan, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22 voor administratieve doeleinden.

De URL's voor de Common Identity-hosts (CI) zijn regiospecifiek. Dit zijn de huidige CI-hosts:

Regio

URL's van host van algemene identiteit

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europese Unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Verenigde Arabische Emiraten
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vereisten voor de proxy server

  • We ondersteunen de volgende proxy oplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride data beveiliging.

    • Transparante proxy: Cisco Web Security Appliance (WSA).

    • Expliciete proxy-pijlinktvis.

      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:) verstoren. Zie Squid-proxy's configureren voor hybride databeveiliging om dit probleem te omzeilen.

  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

    • Geen verificatie met HTTP of HTTPS

    • Basisverificatie met HTTP of HTTPS

    • Alleen verificatiesamenvatting met HTTPS

  • Voor een transparante inspectie proxy of een HTTPS-expliciete proxy moet u een kopie van de hoofdcertificaat van de proxy hebben. De implementatie-instructies in deze handleiding geven aan hoe u de kopie kunt uploaden naar de vertrouwens archieven van de hybride Data Security-knooppunten.

  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 af te ronden via de proxy.

  • Proxy's die het webverkeer controleren, kunnen de WebSocket-verbindingen belemmeren. Als dit probleem zich voordoet, kunt u het probleem oplossen door het verkeer niet te controleren op wbx2.com en ciscospark.com .

Voldoen aan de vereisten voor hybride databeveiliging

Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
1

Zorg ervoor dat uw partnerorganisatie de functie Multi-tenant HDS heeft ingeschakeld en haal de referenties op van een account met volledige partnerbeheerder en volledige beheerdersrechten. Zorg ervoor dat uw Webex-klantorganisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

Klantorganisaties mogen geen bestaande HDS-implementatie hebben.

2

Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

3

Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt minimaal twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter staan en die voldoen aan de vereisten in Vereisten voor virtuele hosts.

4

Bereid de databaseserver voor die fungeert als de belangrijkste gegevensopslag voor het cluster, volgens de Vereisten van de databaseserver. De databaseserver moet in het beveiligde datacenter samen met de virtuele hosts worden geplaatst.

  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik niet de standaarddatabase. De HDS-toepassingen maken na installatie het databaseschema.)

  2. Verzamel de details die de knooppunten gebruiken om te communiceren met de databaseserver:

    • de hostnaam of het IP-adres (host) en de poort

    • de naam van de database (dbname) voor sleutelopslag

    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de sleutelopslagdatabase

5

Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft waarop HDS-knooppunten worden uitgevoerd, moet de back-upomgeving 3 VM's hebben.

6

Stel een syslog-host in om logboeken van de knooppunten in het cluster te verzamelen. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

7

Maak een beveiligd back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.

Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die voor het coderen en decoderen van inhoud worden gebruikt, zal het niet onderhouden van een operationele implementatie leiden tot ONHERSTELBAAR VERLIES van die inhoud.

Webex-app-clients slaan hun sleutels in het cachegeheugen, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen onmogelijk te voorkomen zijn, zijn ze herstelbaar. Een volledig verlies (er zijn geen back-ups beschikbaar) van de database of het ISO-configuratiebestand zal echter resulteren in onherstelbare klantgegevens. Van de operatoren van de knooppunten voor hybride databeveiliging wordt verwacht dat ze frequente back-ups van de database en het ISO-configuratiebestand bijhouden en dat ze voorbereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als zich een catastrofale storing voordoet.

8

Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw knooppunten voor hybride databeveiliging mogelijk maakt, zoals beschreven in Vereisten voor externe connectiviteit.

9

Installeer Docker ( https://www.docker.com) op een lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft op http://127.0.0.1:8080.

U gebruikt de Docker-instantie om de HDS Setup Tool te downloaden en uit te voeren, waarmee de lokale configuratiegegevens voor alle knooppunten voor hybride databeveiliging worden opgebouwd. Mogelijk hebt u een Docker Desktop-licentie nodig. Zie Vereisten voor Docker-desktops voor meer informatie.

Als u de HDS-setuptool wilt installeren en uitvoeren, moet de lokale machine de verbinding hebben die wordt beschreven in Vereisten voor externe connectiviteit.

10

Als u een proxy integreert met hybride databeveiliging, moet u controleren of deze voldoet aan de vereisten voor de proxyserver.

Een cluster voor hybride databeveiliging instellen

Taakstroom implementatie hybride databeveiliging

Voordat u begint

1

Voer de eerste installatie uit en download installatiebestanden

Download het OVA-bestand naar uw lokale machine voor later gebruik.

2

Een configuratie-ISO voor de HDS-hosts maken

Gebruik de HDS-setuptool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

3

De HDS-host-OVA installeren

Maak een virtuele machine met het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.

De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 6.5. Deze optie is mogelijk niet beschikbaar in eerdere versies.

4

VM voor hybride databeveiliging instellen

Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

5

De HDS-configuratie-ISO uploaden en koppelen

Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-setuptool.

6

Configureer het HDS-knooppunt voor proxy-integratie

Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u het proxycertificaat indien nodig toe aan de vertrouwensopslag.

7

Het eerste knooppunt in het cluster registreren

Registreer de VM bij de Cisco Webex-cloud als knooppunt voor hybride databeveiliging.

8

Meer knooppunten maken en registreren

Voltooi de clustersetup.

9

Activeer HDS met meerdere tenants in Partner Hub.

Activeer HDS en beheer tenantorganisaties in Partner Hub.

Voer de eerste installatie uit en download installatiebestanden

In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). U kunt dit bestand later in het installatieproces gebruiken.

1

Meld u aan bij Partnerhub en klik vervolgens op Services.

2

Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik vervolgens op Instellen.

3

Klik op Een resource toevoegen en klik op OVA-bestand downloaden op de kaart Software installeren en configureren .

Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de meest recente versie van het OVA-bestand downloadt.

U kunt de OVA ook op elk moment downloaden via het gedeelte Help . Klik op Instellingen > Help > Software voor hybride databeveiliging downloaden.

Het downloaden van het OVA-bestand wordt automatisch gestart. Sla het bestand op een locatie op uw computer op.
4

U kunt ook op Implementatiegids voor hybride databeveiliging bekijken klikken om te controleren of er een nieuwere versie van deze handleiding beschikbaar is.

Een configuratie-ISO voor de HDS-hosts maken

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

Voordat u begint

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Op de pagina ISO-import hebt u de volgende opties:

  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de blader en uploadt u het.
10

Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

  • Als u nog nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
  • Als uw certificaat OK is, klikt u op Doorgaan.
  • Als uw certificaat is verlopen of u het wilt vervangen, selecteert u Nee voor Doorgaan met het gebruik van de HDS-certificaatketen en privésleutel van vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
11

Voer het databaseadres en het account in voor HDS om toegang te krijgen tot uw belangrijke gegevensopslag:

  1. Selecteer uw databasetype (PostgreSQL of Microsoft SQL Server).

    Als u Microsoft SQL Server kiest, wordt het veld Verificatietype weergegeven.

  2. (Alleen Microsoft SQL-server ) Selecteer uw verificatietype:

    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam .

    • Windows-verificatie: U hebt een Windows-account nodig met de indeling gebruikersnaam@DOMEIN in het veld Gebruikersnaam .

  3. Voer het adres van de databaseserver in de vorm : of : in.

    Voorbeeld:
    dbhost.example.org:1433 of 198.51.100.17:1433

    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

  4. Voer de Databasenaam in.

  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten op de sleutelopslagdatabase.

12

Selecteer een TLS-databaseverbindingsmodus:

Mode

Beschrijving

Voorkeur geven aan TLS (standaardoptie)

HDS-knooppunten vereisen geen TLS om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

TLS verplichten

HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

TLS verplichten en certificaat ondertekenaar verifiëren

Deze modus is niet van toepassing op SQL Server-databases.

  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het Basiscertificaat van de database. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

TLS verplichten en certificaat ondertekenaar en hostnaam verifiëren

  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het Basiscertificaat van de database. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databashost en poort . De namen moeten exact overeenkomen, of de verbinding wordt door het knooppunt ingspunt laten merken.

Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-setuptool de TLS-verbinding met de databaseserver. De tool controleert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, wordt er een foutmelding weergegeven waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de machine van de HDS-setuptool deze niet kan testen.)

13

Configureer uw Syslogd-server op de pagina Systeemlogboeken:

  1. Voer de URL van de syslog-server in.

    Als de server niet door het DNS kan worden omgezet vanaf de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

    Voorbeeld:
    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij de Syslogd-host 10.92.43.23 op UDP-poort 514.
  2. Als u uw server zo instelt dat deze TLS-codering gebruikt, schakelt u het selectievakje Is uw syslog-server geconfigureerd voor SSL-codering? in.

    Als u dit selectievakje inschakelt, moet u een TCP-URL zoals tcp://10.92.43.23:514 invoeren.

  3. Kies in de vervolgkeuzelijst Syslog-record beëindigen kiezen de juiste instelling voor uw ISO-bestand: Kiezen of nieuwe lijn wordt gebruikt voor Graylog en Rsyslog TCP

    • Null byte -- \x00

    • Regeleinde -- \n: selecteer deze keuze voor Graylog en Rsyslog TCP.

  4. Klik op Doorgaan.

14

(Optioneel) U kunt de standaardwaarde voor sommige parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u mogelijk wilt wijzigen:

app_datasource_connection_pool_maxGrootte: 10
15

Klik op Doorgaan in het scherm Wachtwoord voor serviceaccounts herstellen .

Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u ze wilt herstellen om eerdere ISO-bestanden ongeldig te maken.

16

Klik op ISO-bestand downloaden. Sla het bestand op een eenvoudig te vinden locatie op.

17

Maak een back-up van het ISO-bestand op uw lokale systeem.

Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

18

Als u de setuptool wilt afsluiten, typt u CTRL+C.

De volgende stappen

Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten te maken voor herstel of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het is niet mogelijk om de sleutels te herstellen van uw PostgreSQL- of Microsoft SQL Server-database.

We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze verliest.

De HDS-host-OVA installeren

Gebruik deze procedure om een virtuele machine te maken van het OVA-bestand.
1

Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

2

Selecteer Bestand > OVF-sjabloon implementeren.

3

Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

4

Op de pagina Een naam en map selecteren voert u een naam van de virtuele machine in voor het knooppunt (bijvoorbeeld 'HDS_Node_1'), kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u op Volgende.

5

Kies op de pagina Een rekenresource selecteren de bestemming van de rekenresource en klik vervolgens op Volgende.

Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloongegevens weergegeven.

6

Controleer de sjabloongegevens en klik vervolgens op Volgende.

7

Als u wordt gevraagd de resourceneconfiguratie op de pagina Configuratie te kiezen, klikt u op 4 CPU en vervolgens op Volgende.

8

Klik op de pagina Opslag selecteren op Volgende om het standaard schijfindeling en het VM-opslagbeleid te accepteren.

9

Op de pagina Netwerken selecteren kiest u de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

10

Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen :

  • Hostnaam: voer de FQDN (hostnaam en domein) of een enkele woord hostnaam voor het knooppunt in.
    • U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

    • Gebruik alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld om een succesvolle registratie bij de cloud te garanderen. Hoofdletters worden momenteel niet ondersteund.

    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

  • IP-adres: voer het IP-adres in voor de interne interface van het knooppunt.

    Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

  • Masker: voer het adres van het subnetmasker in puntdecimale notatie in. Bijvoorbeeld 255.255.255.0.
  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat dienst doet als een toegangspunt naar een ander netwerk.
  • DNS-servers: voer een door komma's gescheiden lijst in met DNS-servers die domeinnamen naar numerieke IP-adressen vertalen. (Er zijn maximaal 4 DNS-vermeldingen toegestaan.)
  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die voor uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster voor administratieve doeleinden bereikbaar zijn vanaf clients in uw netwerk.

Indien gewenst kunt u de configuratie van de netwerkinstelling overslaan en de stappen volgen in De VM voor hybride databeveiliging instellen om de instellingen te configureren vanuit de knooppuntconsole.

De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 6.5. Deze optie is mogelijk niet beschikbaar in eerdere versies.

11

Klik met de rechtermuisknop op het knooppunt VM en kies Aan/uit > Inschakelen.

De software voor hybride databeveiliging wordt als gast geïnstalleerd op de VM-host. U bent nu klaar om u aan te melden bij de console en het knooppunt te configureren.

Tips voor probleemoplossing

U kunt een vertraging van enkele minuten ervaren voordat de knooppuntcontainers omhoog komen. Tijdens de eerste keer opstarten verschijnt een bridge-firewallbericht op de console, waarbij u zich niet kunt aanmelden.

VM voor hybride databeveiliging instellen

Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en om de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

1

Selecteer in de VMware vSphere-client de VM van uw knooppunt voor hybride databeveiliging en het tabblad Console .

De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldingsprompt niet wordt weergegeven, drukt u op Enter.
2

Gebruik de volgende standaardaanmeldgegevens en -wachtwoorden om u aan te melden en de aanmeldgegevens te wijzigen:

  1. Aanmelden: beheer

  2. Wachtwoord: Cisco

Aangezien u zich voor de eerste keer bij uw VM aanmeldt, moet u het beheerderswachtwoord wijzigen.

3

Als u de netwerkinstellingen al hebt geconfigureerd in De HDS-host-OVA installeren, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken .

4

Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

5

(Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om overeen te stemmen met uw netwerkbeleid.

U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

6

Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen worden doorgevoerd.

De HDS-configuratie-ISO uploaden en koppelen

Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-setuptool.

Voordat u begint

Omdat het ISO-bestand de hoofdsleutel bevat, mag deze alleen worden weergegeven op een 'need to know'-basis, voor toegang door de VM's van hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen deze beheerders toegang hebben tot de gegevensopslag.

1

Upload het ISO-bestand vanaf uw computer:

  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

  2. Klik op de lijst Hardware van het tabblad Configuratie op Opslag.

  3. Klik in de lijst Gegevensopslag met de rechtermuisknop op de gegevensopslag voor uw VM's en klik op Gegevensopslag bladeren.

  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

  6. Klik op Ja om de waarschuwing voor het uploaden/downloaden te accepteren en sluit het dialoogvenster Gegevensopslag.

2

Koppel het ISO-bestand:

  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  2. Klik op OK om de waarschuwing met beperkte bewerkingsopties te accepteren.

  3. Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanuit een ISO-bestand van de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

  4. Schakel Verbonden en Verbinding maken na inschakelen in.

  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

De volgende stappen

Als uw IT-beleid dat vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (optioneel) ISO ontkoppelen na HDS-configuratie voor meer informatie.

Configureer het HDS-knooppunt voor proxy-integratie

Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride gegevensbeveiliging. Als u een transparante inspectering proxy of een HTTPS-expliciete proxy kiest, kunt u de interface van het knooppunt gebruiken om de hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding vanuit de interface controleren en mogelijke problemen oplossen.

Voordat u begint

1

Voer de installatie-URL van het HDS-knooppunt https://[HDS node IP of FQDN]/Setup in een webbrowser in, voer de beheerders gegevens in die u hebt ingesteld voor het knooppunt en klik vervolgens op aanmelden.

2

Ga naar vertrouwens archieven voor vertrouwde proxyen kies een optie:

  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaat update vereist.
  • Transparent Non-Inspecting Proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaat update vereist.
  • Proxy transparant inspecteren: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen wijzigingen in de HTTPS-configuratie nodig voor de implementatie van hybride data beveiliging, de HDS-knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).
  • Expliciete proxy: met expliciete proxy vertelt u de client (HDS-knooppunten) welke proxyserver moet worden gebruikt en deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
    1. Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.

    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.

    3. Proxyprotocol: kies http (toont en beheert alle verzoeken die zijn ontvangen van de client) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

    4. Verificatietype: kies uit de volgende verificatietypen:

      • Geen: geen verdere verificatie is vereist.

        Beschikbaar voor HTTP-of HTTPS-proxy's.

      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.

        Beschikbaar voor HTTP-of HTTPS-proxy's.

        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

        Alleen beschikbaar voor HTTPS-proxy's.

        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

Volg de volgende stappen voor een transparante inspectie proxy, een HTTP Explicit-proxy met basisverificatie of een HTTPS-expliciete proxy.

3

Klik op een hoofdcertificaat of eindentiteit certificaat uploadenen navigeer vervolgens naar een kies de hoofdcertificaat voor de proxy.

Het certificaat is geüpload, maar is nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijlpunt punthaak op de naam van de certificaatuitgever voor meer informatie of klik op verwijderen Als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

4

Klik op proxy verbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

Als de verbindingstest mislukt, wordt er een foutbericht weergegeven met de reden en hoe u het probleem kunt oplossen.

Als u een bericht ziet dat de externe DNS-omzetting niet is geslaagd, kan het knooppunt de DNS-server niet bereiken. Deze situatie wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de geblokkeerde externe DNS-omzettingsmodus. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u vervolgens Modus voor geblokkeerde externe DNS-resolutie uitschakelen.

5

Nadat de verbindingstest is geslaagd, voor expliciete proxy ingesteld op alleen https, schakelt u het in-/uitschakelen in om alle poort 443/444 HTTPS-aanvragen van dit knooppunt te routeren via de expliciete proxy. Deze instelling vereist 15 seconden om van kracht te worden.

6

Klik op alle certificaten installeren in het vertrouwde archief (wordt weergegeven voor een HTTPS-expliciete proxy of een transparante inspectie proxy) of opnieuw opstarten (wordt weergegeven voor een http-expliciete proxy), lees de prompt en klik vervolgens op installeren Als u klaar bent.

Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

7

Nadat het knooppunt opnieuw is opgestart, meldt u zich opnieuw aan indien nodig en opent u de overzichts pagina om te controleren of ze allemaal in de groene status zijn.

De controle van de proxyverbinding test alleen een subdomein van webex.com. Als er problemen zijn met de verbinding, is een veelvoorkomend probleem dat sommige Cloud domeinen die worden vermeld in de installatie-instructies, worden geblokkeerd op de proxy.

Het eerste knooppunt in het cluster registreren

Bij deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in De VM voor hybride databeveiliging instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd voor redundantie.

Voordat u begint

  • Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.

  • Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik op Instellen.

4

Klik op de pagina die wordt geopend op Een resource toevoegen.

5

Voer in het eerste veld van de kaart Een knooppunt toevoegen een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

We raden u aan een cluster een naam te geven op basis van de plaats waar de knooppunten van de cluster zich geografisch bevinden. Voorbeelden: "San Francisco", "New York" of "Dallas"

6

Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Toevoegen onderaan het scherm.

Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein die u hebt gebruikt in De VM voor hybride databeveiliging instellen.

Er wordt een bericht weergegeven dat aangeeft dat u uw knooppunt kunt registreren bij de Webex.
7

Klik op Naar knooppunt gaan.

Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.

8

Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
9

Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging Partnerhub.

Op de pagina Hybride databeveiliging wordt de nieuwe cluster met het knooppunt dat u hebt geregistreerd weergegeven onder het tabblad Resources . Het knooppunt downloadt automatisch de nieuwste software uit de cloud.

Meer knooppunten maken en registreren

Om extra knooppunten aan uw cluster toe te voegen, maakt u extra VM's en koppelt u hetzelfde ISO-configuratiebestand. Vervolgens registreert u het knooppunt. We raden aan dat u minimaal 3 knooppunten hebt.

Voordat u begint

  • Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.

  • Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

1

Maak een nieuwe virtuele machine van de OVA en herhaal de stappen in De HDS-host-OVA installeren.

2

Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De VM voor hybride databeveiliging instellen.

3

Herhaal op de nieuwe VM de stappen in De HDS-configuratie-ISO uploaden en koppelen.

4

Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Het HDS-knooppunt configureren voor proxyintegratie indien nodig voor het nieuwe knooppunt.

5

Registreer het knooppunt.

  1. Selecteer in https://admin.webex.comServices in het menu aan de linkerkant van het scherm.

  2. Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik op Alles weergeven.

    De pagina Resources hybride databeveiliging wordt weergegeven.
  3. Het nieuwe cluster wordt weergegeven op de pagina Resources .

  4. Klik op het cluster om de knooppunten weer te geven die aan het cluster zijn toegewezen.

  5. Klik op Een knooppunt toevoegen aan de rechterkant van het scherm.

  6. Voer het interne IP-adres of de volledig gekwalificeerde domeinnaam van uw knooppunt in en klik op Toevoegen.

    Er wordt een pagina geopend met een bericht dat aangeeft dat u uw knooppunt kunt registreren bij de Webex-cloud. Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging Partnerhub.

    Het pop-upbericht Knooppunt toegevoegd wordt ook onderaan het scherm in Partnerhub weergegeven.

    Uw knooppunt is geregistreerd.

Tenantorganisaties beheren voor hybride databeveiliging met meerdere tenants

HDS met meerdere tenants activeren in Partner Hub

Deze taak zorgt ervoor dat alle gebruikers van de klantorganisaties HDS kunnen gaan gebruiken voor lokale coderingssleutels en andere beveiligingsservices.

Voordat u begint

Zorg ervoor dat u het instellen van uw HDS-cluster met meerdere tenants hebt voltooid met het vereiste aantal knooppunten.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Instellingen bewerken.

4

Klik op HDS activeren op de kaart HDS-status .

Tenantorganisaties toevoegen in Partner Hub

In deze taak wijst u klantorganisaties toe aan uw cluster voor hybride databeveiliging.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Alles weergeven.

4

Klik op het cluster waaraan u wilt dat een klant wordt toegewezen.

5

Ga naar het tabblad Toegewezen klanten .

6

Klik op Klanten toevoegen.

7

Selecteer de klant die u wilt toevoegen in het vervolgkeuzemenu.

8

Klik op Toevoegen. De klant wordt aan het cluster toegevoegd.

9

Herhaal stap 6 tot en met 8 om meerdere klanten aan uw cluster toe te voegen.

10

Klik op Gereed onderaan het scherm zodra u de klanten hebt toegevoegd.

De volgende stappen

Voer de HDS-setuptool uit zoals beschreven in Hoofdsleutels voor klanten maken (CMK's) met de HDS-setuptool om het setupproces te voltooien.

Hoofdsleutels voor de klant maken met de HDS-setuptool

Voordat u begint

Wijs klanten toe aan het juiste cluster zoals beschreven in Tenantorganisaties toevoegen in Partner Hub. Voer de HDS-setuptool uit om het setupproces voor de nieuw toegevoegde klantorganisaties te voltooien.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Partnerhub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:

    • Aanmeldgegevens database

    • Certificaatupdates

    • Wijzigingen in autorisatiebeleid

  • Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Klik op de pagina ISO-import op Ja.

10

Selecteer uw ISO-bestand in de browser en upload het.

Zorg ervoor dat u verbinding hebt met uw database om CMK-beheer uit te voeren.
11

Ga naar het tabblad Tenant CMK-beheer . Hier vindt u de volgende drie manieren om tenant-CMK's te beheren.

  • CMK maken voor alle organisaties of CMK maken : klik op deze knop in de banner bovenaan het scherm om CMK's te maken voor alle nieuw toegevoegde organisaties.
  • Klik op de knop CMK's beheren aan de rechterkant van het scherm en klik op CMK's maken om CMK's te maken voor alle nieuw toegevoegde organisaties.
  • Klik op ... in de buurt van de status CMK-beheer in behandeling van een specifieke organisatie in de tabel en klik op CMK maken om CMK voor die organisatie te maken.
12

Wanneer het maken van CMK is gelukt, verandert de status in de tabel van CMK-beheer in behandeling in CMK beheerd.

13

Als het maken van CMK is mislukt, wordt een fout weergegeven.

Tenantorganisaties verwijderen

Voordat u begint

Na het verwijderen, kunnen gebruikers van klantorganisaties HDS niet meer gebruiken voor hun coderingsbehoeften en verliezen alle bestaande ruimten. Neem contact op met uw Cisco-partner of accountmanager voordat u klantorganisaties verwijdert.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Alles weergeven.

4

Klik op het tabblad Resources op het cluster waarvan u klantorganisaties wilt verwijderen.

5

Klik op de pagina die wordt geopend op Toegewezen klanten.

6

Klik in de lijst met klantorganisaties die worden weergegeven op ... aan de rechterkant van de klantorganisatie die u wilt verwijderen en klik op Verwijderen uit cluster.

De volgende stappen

Voltooi het verwijderingsproces door de CMK's van de klantorganisaties in te trekken, zoals beschreven in CMK's van tenants die zijn verwijderd uit HDS intrekken.

CMK's van tenants die zijn verwijderd uit HDS intrekken.

Voordat u begint

Verwijder klanten uit het juiste cluster zoals beschreven in Tenantorganisaties verwijderen. Voer de HDS-setuptool uit om het verwijderingsproces voor de klantorganisaties die zijn verwijderd te voltooien.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Partnerhub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:

    • Aanmeldgegevens database

    • Certificaatupdates

    • Wijzigingen in autorisatiebeleid

  • Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Klik op de pagina ISO-import op Ja.

10

Selecteer uw ISO-bestand in de browser en upload het.

11

Ga naar het tabblad Tenant CMK-beheer . Hier vindt u de volgende drie manieren om tenant-CMK's te beheren.

  • CMK intrekken voor alle organisaties of CMK intrekken - Klik op deze knop in de banner bovenaan het scherm om de CMK's van alle organisaties die zijn verwijderd in te trekken.
  • Klik op de knop CMK's beheren aan de rechterkant van het scherm en klik op CMK's intrekken om de CMK's van alle organisaties die zijn verwijderd in te trekken.
  • Klik op ... in de buurt van de CMK die moet worden ingetrokken status van een specifieke organisatie in de tabel en klik op CMK intrekken om CMK voor die specifieke organisatie in te trekken.
12

Wanneer CMK-intrekking is gelukt, wordt de klantorganisatie niet meer in de tabel weergegeven.

13

Als de CMK-intrekking mislukt, wordt een fout weergegeven.

Uw implementatie voor hybride databeveiliging testen

Uw implementatie van hybride databeveiliging testen

Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging met meerdere tenants te testen.

Voordat u begint

  • Stel uw implementatie voor hybride databeveiliging met meerdere tenants in.

  • Zorg ervoor dat u toegang hebt tot het syslog om te controleren of belangrijke verzoeken naar uw implementatie van hybride databeveiliging met meerdere tenants worden doorgegeven.

1

Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de gebruikers van de klantorganisatie en maak vervolgens een ruimte.

Als u de implementatie voor hybride databeveiliging deactiveert, is inhoud in ruimten die gebruikers maken niet meer toegankelijk zodra de kopieën in de cache van de client van de coderingssleutels zijn vervangen.

2

Verzend berichten naar de nieuwe ruimte.

3

Controleer de syslog-uitvoer om te verifiëren of de sleutelverzoeken naar uw implementatie voor hybride databeveiliging gaan.

  1. Als u wilt controleren of een gebruiker eerst een beveiligd kanaal naar de KMS instelt, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

    U vindt een vermelding als het volgende (identifiers shortened for readability):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_SLEUTEL_VERZAMELING, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. Als u wilt controleren of een gebruiker een bestaande sleutel van de KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. Als u wilt controleren of een gebruiker een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
  4. Als u wilt controleren of een gebruiker een nieuw KMS Resource Object (KRO) aanvraagt wanneer een omgeving of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hybride databeveiliging controleren

Een statusindicator in Partnerhub geeft aan of alles in orde is met de implementatie van hybride databeveiliging met meerdere tenants. Als u proactief belt, meldt u zich aan voor e-mailmeldingen. U wordt geïnformeerd wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
1

Selecteer in Partnerhub de optie Services in het menu aan de linkerkant van het scherm.

2

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Instellingen bewerken.

De pagina Instellingen hybride databeveiliging wordt weergegeven.
3

Typ in het gedeelte E-mailmeldingen een of meer door komma's gescheiden e-mailadressen en druk op Enter.

Uw HDS-implementatie beheren

HDS-implementatie beheren

Gebruik de taken die hier worden beschreven om uw implementatie van hybride databeveiliging te beheren.

Planning van clusterupgrade instellen

Software-upgrades voor hybride databeveiliging worden automatisch op clusterniveau uitgevoerd, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens de upgradeplanning voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie het cluster handmatig vóór het geplande tijdstip van de upgrade te upgraden. U kunt een specifiek upgradeschema instellen of het standaardschema gebruiken van 3:00 uur Dagelijks in de Verenigde Staten: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

De upgradeplanning instellen:

1

Meld u aan bij Partner Hub.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices hybride databeveiliging en klik op Instellen

4

Selecteer het cluster op de pagina Resources hybride databeveiliging.

5

Klik op het tabblad Clusterinstellingen .

6

Selecteer op de pagina Clusterinstellingen bij Upgradeplanning de tijd en tijdzone voor de upgradeplanning.

Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen tot de volgende dag door op 24 uur uitstellen te klikken.

De knooppuntconfiguratie wijzigen

Soms moet u de configuratie van uw knooppunt voor hybride databeveiliging wijzigen vanwege een bijvoorbeeld:
  • X.509-certificaten wijzigen vanwege vervaldatum of andere redenen.

    We ondersteunen het wijzigen van de CN-domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om de cluster te registreren.

  • Database-instellingen bijwerken om te wijzigen in een kopie van de PostgreSQL- of Microsoft SQL Server-database.

    We ondersteunen het migreren van gegevens van PostgreSQL naar Microsoft SQL Server niet, of op de omgekeerde manier. Als u wilt schakelen tussen de databaseomgevingen, moet u een nieuwe implementatie van hybride databeveiliging starten.

  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

Bovendien gebruikt Hybride databeveiliging voor beveiligingsdoeleinden wachtwoorden voor serviceaccounts die een levensduur van negen maanden hebben. Nadat de HDS-setuptool deze wachtwoorden heeft gegenereerd, implementeert u deze in uw HDS-knooppunten in het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een melding van het Webex-team om het wachtwoord voor uw machineaccount opnieuw in te stellen. (Het e-mailbericht bevat de tekst: 'Gebruik het machineaccount API om het wachtwoord bij te werken.') Als uw wachtwoord nog niet is verlopen, geeft de tool u twee opties:

  • Zachte reset: de oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO-bestand op de knooppunten stapsgewijs te vervangen.

  • Harde reset: de oude wachtwoorden werken niet direct meer.

Als uw wachtwoorden verlopen zonder opnieuw in te stellen, is dit van invloed op uw HDS-service, waarvoor onmiddellijke harde reset en vervanging van het ISO-bestand op alle knooppunten nodig is.

Gebruik deze procedure om een nieuw ISO-configuratiebestand te genereren en dit toe te passen op uw cluster.

Voordat u begint

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de referenties van een Partnerhub-account met volledige partnerbeheerdersrechten vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container in 1.e opent. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel voor de versleuteling van PostgreSQL of Microsoft SQL Server-database. U hebt de ISO nodig wanneer u configuratiewijzigingen aan aanbrengen, waaronder databasereferenties, certificaatupdates of wijzigingen aan autorisatiebeleid.

1

Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

  1. Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

    In normale omgevingen:

    docker rmi ciscocitg/hds-setup:stabiel

    In FedRAMP-omgevingen:

    docker rmi ciscocitg/hds-setup-fedramp:stabiel

    Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

  2. Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

    docker login -u hdscustomersro
  3. Voer bij de wachtwoordprompt deze hash in:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Download de nieuwste stabiele afbeelding voor uw omgeving:

    In normale omgevingen:

    docker pull ciscocitg/hds-setup:stabiel

    In FedRAMP-omgevingen:

    docker pull ciscocitg/hds-setup-fedramp:stabiel

    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 hebben niet de schermen voor het opnieuw instellen van wachtwoorden.

  5. Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

    • In normale omgevingen zonder proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • In normale omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In normale omgevingen met HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In FedRAMP-omgevingen zonder een proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.

    De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

  7. Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de klant van uw Partnerhub in en klikt u vervolgens op Accepteren om door te gaan.

  8. Importeer het huidige ISO-configuratiebestand.

  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

    Als u de setuptool wilt afsluiten, typt u CTRL+C.

  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

2

Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor hybride databeveiliging en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

  1. Installeer de HDS-host-OVA.

  2. Stel de HDS-VM in.

  3. Koppel het bijgewerkte configuratiebestand.

  4. Registreer het nieuwe knooppunt in Partnerhub.

3

Voor bestaande HDS-knooppunten waar het oudere configuratiebestand op wordt uitgevoerd, moet u het ISO-bestand onder brengen. Voer de volgende procedure uit op elk knooppunt. Werk elk knooppunt bij voordat u het volgende knooppunt uit schakelen:

  1. Schakel de virtuele machine uit.

  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  3. Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

  4. Schakel het selectievakje Verbinding maken na inschakelen in.

  5. Sla uw wijzigingen op en schakel de virtuele machine in.

4

Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

Geblokkeerde externe DNS-omzettingsmodus uitschakelen

Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. Als de DNS-server van het knooppunt geen publieke DNS-namen kan omzetten, wordt het knooppunt automatisch in de geblokkeerde externe DNS-omzettingsmodus geplaatst.

Als uw knooppunten publieke DNS-namen kunnen omzetten via interne DNS-servers, kunt u deze modus uitschakelen door de proxy verbindingstest opnieuw uit te voeren op elk knooppunt.

Voordat u begint

Zorg ervoor dat uw interne DNS-servers publieke DNS-namen kunnen omzetten en dat uw knooppunten met hen kunnen communiceren.
1

Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/setup, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt instelt en klik vervolgens op Aanmelden.

2

Ga naar overzicht (de standaardpagina).

Indien ingeschakeld, wordt de geblokkeerde externe DNS-omzetting ingesteld op Ja.

3

Ga naar de pagina vertrouwde winkel >-proxy .

4

Klik op proxy verbinding controleren.

Als er een bericht wordt weergegeven met de melding dat de externe DNS-omzetting niet is geslaagd, is het knooppunt niet in staat om de DNS-server te bereiken en blijft deze in deze modus. Anders moet de geblokkeerde externe DNS-omzetting worden ingesteld op Nee als u het knooppunt opnieuw hebt opgestart en teruggaat naar de overzichtspagina.

De volgende stappen

Herhaal de proxy verbindingstest op elk knooppunt in uw cluster voor hybride data beveiliging.

Een knooppunt verwijderen

Gebruik deze procedure om een knooppunt voor hybride databeveiliging te verwijderen uit de Webex-cloud. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
1

Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en schakel de virtuele machine uit.

2

Verwijder het knooppunt:

  1. Meld u aan bij Partnerhub en selecteer Services.

  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources hybride databeveiliging weer te geven.

  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

  4. Klik op het knooppunt dat u wilt verwijderen.

  5. Klik op Dit knooppunt afmelden in het deelvenster dat aan de rechterkant wordt weergegeven

  6. U kunt de registratie van het knooppunt ook ongedaan maken door te klikken op … aan de rechterkant van het knooppunt en Dit knooppunt verwijderen te selecteren.

3

Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

Als u de VM niet verwijdert, vergeet dan niet om het ISO-configuratiebestand te ontkoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken voor toegang tot uw beveiligingsgegevens.

Noodherstel met behulp van stand-bydatacenter

De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt om berichten en andere inhoud die is opgeslagen in de Webex-cloud te coderen. Voor elke gebruiker in de organisatie die is toegewezen aan hybride databeveiliging, worden aanvragen voor het maken van nieuwe sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de gemaakte sleutels aan alle gebruikers die bevoegd zijn om deze op te halen, bijvoorbeeld leden van een gespreksruimte.

Omdat het cluster de kritieke functie uitvoert voor het leveren van deze sleutels, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden onderhouden. Verlies van de database voor hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van klantinhoud. Om dergelijk verlies te voorkomen, zijn de volgende praktijken verplicht:

Als de HDS-implementatie in het primaire datacenter niet beschikbaar wordt door een ramp, volgt u deze procedure om handmatig failover naar het stand-bydatacenter te maken.

Voordat u begint

De registratie van alle knooppunten van Partnerhub ongedaan maken, zoals vermeld in Een knooppunt verwijderen. Gebruik het nieuwste ISO-bestand dat is geconfigureerd voor de knooppunten van het cluster dat eerder actief was, om de hieronder vermelde failoverprocedure uit te voeren.
1

Start de HDS-setuptool en volg de stappen die worden vermeld in Een configuratie-ISO voor de HDS-hosts maken.

2

Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

3

Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

4

Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

5

Klik op Instellingen bewerken >CD/DVD-station 1 en selecteer ISO-gegevensopslagbestand.

Zorg ervoor dat Verbonden en Verbinding maken bij inschakelen zijn ingeschakeld, zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

6

Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 15 minuten geen alarmen zijn.

7

Registreer het knooppunt in Partnerhub. Raadpleeg Het eerste knooppunt in het cluster registreren.

8

Herhaal het proces voor elk knooppunt in het stand-bydatacenter.

De volgende stappen

Als het primaire datacenter na failover weer actief wordt, verwijdert u de registratie van de knooppunten van het stand-bydatacenter en herhaalt u het proces van configuratie van de ISO en registratie van de knooppunten van het primaire datacenter, zoals hierboven vermeld.

(Optioneel) ISO ontkoppelen na HDS-configuratie

De standaard HDS-configuratie wordt uitgevoerd met de aangekoppelde ISO. Sommige klanten geven er echter de voorkeur aan dat ISO-bestanden niet continu worden gekoppeld. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

U gebruikt nog steeds de ISO-bestanden om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de setuptool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra alle knooppunten de configuratiewijzigingen hebben opgehaald, kunt u de ISO opnieuw loskoppelen met deze procedure.

Voordat u begint

Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

1

Sluit een van uw HDS-knooppunten af.

2

Selecteer het HDS-knooppunt in het vCenter Server Appliance.

3

Kies Instellingen bewerken > CD/DVD-station en schakel ISO-gegevensopslagbestand uit.

4

Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 20 minuten geen alarmen zijn.

5

Herhaal om de beurt voor elk HDS-knooppunt.

Problemen met hybride databeveiliging oplossen

Waarschuwingen weergeven en problemen oplossen

Een implementatie van Hybride databeveiliging wordt als niet beschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als de cluster zo langzaam werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

  • Er kunnen geen nieuwe ruimten worden gemaakt (kan geen nieuwe sleutels maken)

  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

    • Nieuwe gebruikers die aan een ruimte zijn toegevoegd (kunnen geen sleutels ophalen)

    • Bestaande gebruikers in een ruimte met een nieuwe client (kunnen geen sleutels ophalen)

  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

Het is belangrijk dat u uw cluster voor hybride databeveiliging goed controleert en alle waarschuwingen onmiddellijk adresseert om onderbreking van de service te voorkomen.

Waarschuwingen

Als er een probleem is met de configuratie van hybride databeveiliging, geeft Partnerhub waarschuwingen weer aan de organisatiebeheerder en verzendt u e-mails naar het geconfigureerde e-mailadres. De waarschuwingen behandelen veel algemene scenario's.

Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

Waarschuwing

Actie

Lokale databasetoegang mislukt.

Controleer op databasefouten of problemen met het lokale netwerk.

Verbinding met lokale database mislukt.

Controleer of de databaseserver beschikbaar is en of de juiste referenties van het serviceaccount zijn gebruikt in de knooppuntconfiguratie.

Toegang tot cloudservice mislukt.

Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Vereisten voor externe connectiviteit.

De registratie van cloudservice wordt verlengd.

Registratie bij cloudservices is verbroken. De registratie wordt verlengd.

Registratie van cloudservice verbroken.

Registratie bij cloudservices is beëindigd. Service wordt afgesloten.

Service nog niet geactiveerd.

HDS activeren in Partnerhub.

Het geconfigureerde domein komt niet overeen met het servercertificaat.

Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

De meest waarschijnlijke oorzaak is dat de algemene naam van het certificaat onlangs is gewijzigd en nu anders is dan de algemene naam die tijdens de eerste installatie is gebruikt.

Kan niet verifiëren bij cloudservices.

Controleer op de nauwkeurigheid en mogelijke vervaldatum van de referenties van het serviceaccount.

Openen van lokaal keystore-bestand is mislukt.

Controleer op integriteit en wachtwoordnauwkeurigheid in het lokale keystore-bestand.

Het lokale servercertificaat is ongeldig.

Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

Kan statistieken niet plaatsen.

Controleer de toegang van het lokale netwerk tot externe cloudservices.

De map /media/configdrive/hds bestaat niet.

Controleer de ISO-koppelconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om te koppelen bij opnieuw opstarten en of het met succes wordt gekoppeld.

De tenantorganisatie-instellingen zijn niet voltooid voor de toegevoegde organisaties

Voltooi de installatie door CMK's te maken voor nieuw toegevoegde tenantorganisaties met de HDS-setuptool.

De tenantorganisatie is niet voltooid voor de verwijderde organisaties

Voltooi de installatie door CMK's van tenantorganisaties die zijn verwijderd met de HDS-setuptool in te trekken.

Problemen met hybride databeveiliging oplossen

Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met Hybride databeveiliging.
1

Controleer Partnerhub voor waarschuwingen en los alle items op die u daar vindt. Zie de afbeelding hieronder ter referentie.

2

Controleer de uitvoer van de Syslog-server voor activiteit van de implementatie van hybride databeveiliging. Filter op woorden als 'Waarschuwing' en 'Fout' om problemen op te lossen.

3

Neem contact op met Cisco-ondersteuning.

Overige opmerkingen

Bekende problemen voor hybride databeveiliging

  • Als u uw cluster voor hybride databeveiliging afsluit (door deze te verwijderen in Partner Hub of door alle knooppunten te sluiten), uw ISO-configuratiebestand te verliezen of de toegang tot de keystore-database te verliezen, kunnen gebruikers van de Webex-app van klantorganisaties niet langer ruimten gebruiken onder hun lijst Personen die zijn gemaakt met sleutels van uw KMS. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en we verzoeken u dringend uw HDS-services niet te beëindigen zodra deze actieve gebruikersaccounts afhandelen.

  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een bepaalde tijd (waarschijnlijk één uur).

OpenSSL gebruiken om een PKCS12-bestand te genereren

Voordat u begint

  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS-setuptool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten de ene weg niet boven de andere.

  • Als u ervoor kiest OpenSSL te gebruiken, bieden we deze procedure als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

  • Maak een privésleutel.

  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificerende instantie (CA).

1

Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

2

Geef het certificaat weer als tekst en verifieer de details.

openssl x509 -text -noout -in hdsnode.pem

3

Gebruik een tekstverwerker om een certificaatbundelbestand met de naam hdsnode-bundle.pem te maken. Het bundelbestand moet het servercertificaat, eventuele tussenliggende CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

----BEGIN CERTIFICATE------ ### Servercertificaat. ### -----END CERTIFICATE----------BEGIN CERTIFICATE----- ### Tussenliggend CA-certificaat. ### ----END CERTIFICATE----------BEGIN CERTIFICATE----- ### Basis CA-certificaat. ### -----END CERTIFICATE-----

4

Maak het .p12-bestand met de beschrijvende naam kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -naam kms-private-key -caname kms-private-key -out hdsnode.p12

5

Controleer de details van het servercertificaat.

  1. openssl pkcs12 -in hdsnode.p12

  2. Voer bij de prompt een wachtwoord in om de privésleutel te coderen zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de regels bevatten friendlyName: kms-privésleutel.

    Voorbeeld:

    bash$ openssl pkcs12 -in hdsnode.p12 Voer importwachtwoord in: Mac heeft OK Bag Attributes geverifieerd friendlyName: kms-privésleutel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Sleutelkenmerken:  Voer de PEM-wachtwoordzin in: Verifiëren - Voer de PEM-wachtwoordzin in: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-privésleutel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

De volgende stappen

Keer terug naar Aan de vereisten voor hybride databeveiliging voldoen. U gebruikt het bestand hdsnode.p12 en het wachtwoord dat u ervoor hebt ingesteld in Een configuratie-ISO voor de HDS-hosts maken.

U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

Verkeer tussen de HDS-knooppunten en de cloud

Verzamelverkeer uitgaande statistieken

De knooppunten voor hybride databeveiliging verzenden bepaalde statistieken naar de Webex-cloud. Hieronder vallen systeemstatistieken voor max. heap, gebruikte heap, CPU-belasting en threadtelling; statistieken op synchrone en asynchrone threads; statistieken over waarschuwingen met een drempel voor coderingsverbindingen, latentie of een aanvraagwachtrijlengte; statistieken in de gegevensopslag; en statistieken voor coderingsverbinding. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (afzonderlijk van het verzoek) kanaal.

Inkomend verkeer

De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer van de Webex-cloud:

  • Coderingsverzoeken van clients, die door de coderingsservice worden gerouteerd

  • Upgrades van de knooppuntsoftware

Het configureren van inktvis-Proxy's voor hybride data beveiliging

WebSocket kan geen verbinding maken via de inktvis-proxy

Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:) verstoren die vereist zijn voor hybride databeveiliging. Deze secties bevatten leidraden voor het configureren van verschillende versies van inktvis om WSS te negeren: verkeer voor de juiste werking van de services.

Pijlinktvis 4 en 5

Voeg de on_unsupported_protocol richtlijn toe aan squid.conf:

on_unsupported_protocol alles tunnel

Inktvis 3.5.27

De hybride gegevensbeveiliging is getest met de volgende regels die zijn toegevoegd aan inktvis. conf. Deze regels kunnen worden gewijzigd wanneer we functies ontwikkelen en de Webex Cloud bijwerken.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl stap1 at_step SslBump1 acl stap2 at_step SslBump2 acl stap3 at_step SslBump3 ssl_bump bekijk stap1 alle ssl_bump staren stap2 alle ssl_bump bump stap3 alle

Nieuwe en gewijzigde informatie

Nieuwe en gewijzigde informatie

Deze tabel bevat nieuwe functies of functionaliteiten, wijzigingen in bestaande inhoud en belangrijke fouten die zijn opgelost in de Implementatiehandleiding voor hybride databeveiliging met meerdere tenants.

Datum

Wijzigingen aangebracht

8 januari 2025

Er is een opmerking toegevoegd in Eerste installatie uitvoeren en installatiebestanden downloaden waarin staat dat het klikken op Instellen op de HDS-kaart in Partner Hub een belangrijke stap is in het installatieproces.

7 januari 2025

Bijgewerkte vereisten voor virtuele host, taakstroom voor implementatie van hybride databeveiliging en installeer de HDS-host-OVA om de nieuwe ESXi 7.0-vereiste weer te geven.

13 december 2024

Eerst gepubliceerd.

Hybride databeveiliging met meerdere tenants deactiveren

Taakstroom voor deactivering van HDS met meerdere tenants

Volg deze stappen om HDS met meerdere tenants volledig te deactiveren.

Voordat u begint

Deze taak mag alleen worden uitgevoerd door een volledige partnerbeheerder.
1

Verwijder alle klanten uit al uw clusters, zoals vermeld in Tenantorganisaties verwijderen.

2

Trek de CMK's van alle klanten in, zoals vermeld in CMK's van tenants die zijn verwijderd uit HDS intrekken..

3

Verwijder alle knooppunten uit al uw clusters, zoals vermeld in Een knooppunt verwijderen.

4

Verwijder al uw clusters uit Partnerhub met een van de volgende twee methoden.

  • Klik op het cluster dat u wilt verwijderen en selecteer Dit cluster verwijderen in de rechterbovenhoek van de overzichtspagina.
  • Klik op de pagina Resources op ... aan de rechterkant van een cluster en selecteer Cluster verwijderen.
5

Klik op het tabblad Instellingen op de overzichtspagina Hybride databeveiliging en klik op HDS deactiveren op de HDS-statuskaart.

Aan de slag met hybride databeveiliging voor meerdere tenants

Overzicht van hybride databeveiliging met meerdere tenants

Vanaf dag één is gegevensbeveiliging de primaire focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end-inhoudscodering, ingeschakeld door clients van de Webex-app die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografiesleutels die clients gebruiken om berichten en bestanden dynamisch te coderen en te decoderen.

Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride databeveiliging verplaatst de KMS en andere beveiligingsgerelateerde functies naar uw bedrijfsdatacenter, dus niemand maar u beschikt over de sleutels voor uw gecodeerde inhoud.

Met Hybride databeveiliging voor meerdere tenants kunnen organisaties HDS gebruiken via een vertrouwde lokale partner, die kan optreden als serviceprovider en codering en andere beveiligingsservices op locatie kan beheren. Met deze instelling kan de partnerorganisatie volledige controle hebben over de implementatie en het beheer van coderingssleutels en zorgen ervoor dat gebruikersgegevens van klantorganisaties veilig zijn tegen externe toegang. Partnerorganisaties stellen HDS-instanties in en maken indien nodig HDS-clusters. Elk exemplaar kan meerdere klantorganisaties ondersteunen, in tegenstelling tot een reguliere HDS-implementatie die beperkt is tot één organisatie.

Hoewel partnerorganisaties de implementatie en het beheer onder controle hebben, hebben ze geen toegang tot gegevens en inhoud die door klanten zijn gegenereerd. Deze toegang is beperkt tot klantorganisaties en hun gebruikers.

Hierdoor kunnen kleinere organisaties ook HDS gebruiken, omdat sleutelbeheerservice en beveiligingsinfrastructuur zoals datacenters eigendom zijn van de vertrouwde lokale partner.

Hoe hybride databeveiliging met meerdere tenants gegevenssoevereiniteit en gegevenscontrole biedt

  • Door gebruikers gegenereerde inhoud wordt beschermd tegen externe toegang, zoals cloudserviceproviders.
  • Lokale vertrouwde partners beheren de coderingssleutels van klanten met wie ze al een bestaande relatie hebben.
  • Optie voor lokale technische ondersteuning, indien verstrekt door de partner.
  • Ondersteunt inhoud voor vergaderingen, berichten en gesprekken.

Dit document is bedoeld om partnerorganisaties te helpen bij het instellen en beheren van klanten onder een systeem voor hybride databeveiliging met meerdere tenants.

Rollen in hybride databeveiliging met meerdere tenants

  • Volledige partnerbeheerder : kan instellingen beheren voor alle klanten die de partner beheert. Kan ook beheerdersrollen toewijzen aan bestaande gebruikers in de organisatie en specifieke klanten toewijzen die moeten worden beheerd door partnerbeheerders.
  • Partnerbeheerder : kan instellingen beheren voor klanten die door de beheerder zijn ingericht of die aan de gebruiker zijn toegewezen.
  • Volledige beheerder - Beheerder van de partnerorganisatie die bevoegd is om taken uit te voeren zoals het wijzigen van organisatie-instellingen, het beheren van licenties en het toewijzen van rollen.
  • End-to-end installatie en beheer van alle klantorganisaties met meerdere tenants : volledige partnerbeheerder en volledige beheerdersrechten vereist.
  • Beheer van toegewezen tenantorganisaties : partnerbeheerders en volledige beheerdersrechten vereist.

Architectuur beveiligingsrealm

De Webex-cloudarchitectuur scheidt verschillende typen services in verschillende realms of vertrouwensdomeinen, zoals hieronder afgebeeld.

Gescheiden ruimten (zonder hybride databeveiliging)

Laten we voor meer informatie over hybride databeveiliging eerst naar deze pure cloudcase kijken, waarbij Cisco alle functies in zijn clouddomeinen biedt. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks gecorreleerd kunnen worden met hun persoonlijke informatie, zoals hun e-mailadres, staat logischerwijs en fysiek los van de beveiligingsruimte in datacenter B. Beide staan op hun beurt los van de ruimte waar gecodeerde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

In dit diagram is de client de Webex-app die op de laptop van een gebruiker wordt uitgevoerd en is de identiteitsservice geverifieerd. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

  1. De client brengt een beveiligde verbinding tot stand met de sleutelbeheerservice (KMS) en vraagt vervolgens een sleutel aan om het bericht te coderen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

  2. Het bericht wordt gecodeerd voordat het de client verlaat. De client verzendt deze naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

  3. Het gecodeerde bericht wordt naar de nalevingsservice verzonden voor nalevingscontroles.

  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

Wanneer u hybride databeveiliging implementeert, verplaatst u de functies van de beveiligingsregio (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de rijken van Cisco.

Samenwerken met andere organisaties

Gebruikers in uw organisatie kunnen regelmatig de Webex-app gebruiken om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, leidt uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS op te halen. Vervolgens stuurt u de sleutel terug naar uw gebruiker op het oorspronkelijke kanaal.

De KMS-service die op Organisatie A wordt uitgevoerd, valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat dat u wilt gebruiken met uw implementatie van hybride databeveiliging met meerdere tenants.

Verwachtingen voor het implementeren van hybride databeveiliging

Een implementatie van Hybride databeveiliging vereist aanzienlijke inzet en een besef van de risico's die verbonden zijn aan het bezitten van coderingssleutels.

Voor het implementeren van hybride databeveiliging moet u het volgende opgeven:

Volledig verlies van de configuratie-ISO die u voor hybride databeveiliging maakt of de database die u opgeeft, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers ruimte-inhoud en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar is alleen nieuwe inhoud zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

  • Beheer de back-up en het herstel van de database en de configuratie-ISO.

  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing van de databaseselectie of een ramp in een datacenter.

Er is geen mechanisme om sleutels terug naar de cloud te verplaatsen na een HDS-implementatie.

Installatieproces op hoog niveau

In dit document worden de installatie en het beheer van een implementatie van hybride databeveiliging met meerdere tenants behandeld:

  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het bouwen van een HDS-cluster, het toevoegen van tenantorganisaties aan de cluster en het beheren van hun Customer Main Keys (CMK's). Hiermee kunnen alle gebruikers van uw klantorganisaties uw cluster voor hybride databeveiliging gebruiken voor beveiligingsfuncties.

    De installatie-, activerings- en beheerfasen worden in detail behandeld in de volgende drie hoofdstukken.

  • Uw implementatie van hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch doorlopende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig contact opnemen met Cisco-ondersteuning. U kunt meldingen op het scherm gebruiken en waarschuwingen op basis van e-mail instellen in Partner Hub.

  • Algemene waarschuwingen, stappen voor het oplossen van problemen en bekende problemen begrijpen: als u problemen ondervindt met het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen bij het bepalen en oplossen van het probleem.

Implementatiemodel voor hybride databeveiliging

In uw bedrijfsdatacenter implementeert u hybride databeveiliging als een enkele cluster knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

Tijdens het installatieproces voorzien we u van het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt koppelt. Het cluster voor hybride databeveiliging gebruikt uw opgegeven Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de Syslogd- en databaseverbindingsgegevens in de HDS-setuptool.)

Implementatiemodel voor hybride databeveiliging

Het minimum aantal knooppunten dat u in een cluster kunt hebben, is twee. We raden ten minste drie per cluster aan. Het hebben van meerdere knooppunten zorgt ervoor dat de service niet wordt onderbroken tijdens een software-upgrade of andere onderhoudsactiviteiten op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

Alle knooppunten in een cluster hebben toegang tot dezelfde belangrijke gegevensopslag en logboekactiviteit tot dezelfde syslog-server. De knooppunten zelf zijn staatloos en handelen sleutelverzoeken af op ronde-robin-manier, zoals aangegeven door de cloud.

Knooppunten worden actief wanneer u ze registreert in Partner Hub. Als u een afzonderlijk knooppunt uit dienst wilt nemen, kunt u de registratie ongedaan maken en later indien nodig opnieuw registreren.

Stand-by-datacenter voor noodherstel

Tijdens de implementatie stelt u een beveiligd stand-by datacenter in. In het geval van een datacenterramp kunt u de implementatie handmatig naar het stand-bydatacenter mislukken.

Vóór de failover heeft Datacenter A actieve HDS-knooppunten en de primaire PostgreSQL- of Microsoft SQL-serverdatabase, terwijl B een kopie heeft van het ISO-bestand met aanvullende configuraties, VM's die bij de organisatie zijn geregistreerd en een stand-bydatabase. Na failover heeft datacenter B actieve HDS-knooppunten en de primaire database, terwijl A niet-geregistreerde VM's en een kopie van het ISO-bestand heeft en de database in de stand-bymodus staat.
Handmatig failover naar stand-bydatacenter

De databases van de actieve en stand-bydatacenters zijn gesynchroniseerd met elkaar, waardoor de tijd die nodig is om de failover uit te voeren, wordt geminimaliseerd.

De actieve knooppunten voor hybride databeveiliging moeten zich altijd in hetzelfde datacenter bevinden als de actieve databaseserver.

Proxy ondersteuning

Hybride gegevensbeveiliging biedt ondersteuning voor expliciete, transparante inspectie en het niet-geïnspecteerde proxy's. U kunt deze proxy's koppelen aan uw implementatie zodat u verkeer van de onderneming kunt beveiligen en controleren naar de Cloud. U kunt een platformbeheer interface gebruiken op de knooppunten voor certificaatbeheer en de algehele verbindingsstatus controleren nadat u de proxy op de knooppunten hebt ingesteld.

De knooppunten voor hybride data beveiliging ondersteunen de volgende proxy opties:

  • Geen proxy: de standaard als u het HDS-knooppunt niet gebruikt, stelt u de vertrouwensarchief- en proxyconfiguratie in om een proxy te integreren. Er is geen certificaat update vereist.

  • Transparante proxy zonder inspectie: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres en hoeven geen wijzigingen te vereisen om te werken met een proxy zonder inspectie. Er is geen certificaat update vereist.

  • Transparent tunneling of inspecting proxy: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres. Er zijn geen HTTP-of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).

  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welke proxyserver en verificatieschema moeten worden gebruikt. Als u een expliciete proxy wilt configureren, moet u op elk knooppunt de volgende informatie invoeren:

    1. Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.

    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.

    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

      • HTTP: alle aanvragen die de client verzendt, worden weergegeven en beheerd.

      • HTTPS: geeft een kanaal aan de server. De client ontvangt en valideert het certificaat van de server.

    4. Verificatietype: kies uit de volgende verificatietypen:

      • Geen: geen verdere verificatie is vereist.

        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.

        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

        Alleen beschikbaar als u HTTPS als proxy protocol selecteert.

        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

Voorbeeld van knooppunten en proxy voor hybride data beveiliging

Dit diagram toont een voorbeeld van een verbinding tussen de hybride gegevensbeveiliging, het netwerk en een proxy. Voor de instellingen voor transparant inspecteren en HTTPS expliciet controleren, moeten dezelfde hoofdcertificaat op de proxy en op de knooppunten voor hybride data beveiliging worden geïnstalleerd.

Geblokkeerde externe DNS-omzettingsmodus (expliciete proxy configuraties)

Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. In implementaties met expliciete proxyconfiguraties die geen externe DNS-omzetting voor interne clients toestaan, als het knooppunt de DNS-servers niet kan opvragen, wordt de geblokkeerde externe DNS-omzettingsmodus automatisch ingeschakeld. In deze modus kan de registratie van knooppunten en andere proxy connectiviteitstests worden voortgezet.

Uw omgeving voorbereiden

Vereisten voor hybride databeveiliging met meerdere tenants

Cisco Webex-licentievereisten

Hybride databeveiliging met meerdere tenants implementeren:

  • Partnerorganisaties: Neem contact op met uw Cisco-partner of accountmanager en zorg ervoor dat de functie voor meerdere tenants is ingeschakeld.

  • Tenantorganisaties: U moet het Pro-pakket voor Cisco Webex Control Hub hebben. (Zie https://www.cisco.com/go/pro-pack.)

X.509-certificaatvereisten

De certificaatketen moet aan de volgende vereisten voldoen:

Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

Vereiste

Details

  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

Standaard vertrouwen we de CA's in de lijst met Mozilla (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

  • Draagt een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

  • Is geen wildcardcertificaat

De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die overeenkomt met uw organisatie, bijvoorbeeld hds.bedrijf.com.

De algemene naam mag geen * (jokerteken) bevatten.

De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren naar Webex-app-clients. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

Wanneer u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam.

  • Niet-SHA1-handtekening

De KMS-software biedt geen ondersteuning voor SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

  • Opgemaakt als een met een wachtwoord beveiligd PKCS #12-bestand

  • Gebruik de beschrijvende naam kms-private-key om het certificaat, de privésleutel en eventuele aanvullende certificaten te taggen om te uploaden.

U kunt een conversieprogramma zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

U moet het wachtwoord invoeren wanneer u de HDS-setuptool uitvoert.

De KMS-software dwingt geen beperkingen op het sleutelgebruik of het uitgebreide sleutelgebruik af. Sommige certificeringsinstanties vereisen dat uitgebreide gebruiksbeperkingen voor elk certificaat worden toegepast, zoals serververificatie. Het is oké om de serververificatie of andere instellingen te gebruiken.

Vereisten voor virtuele host

De virtuele hosts die u als knooppunten voor hybride databeveiliging in uw cluster instelt, hebben de volgende vereisten:

  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich samen in hetzelfde beveiligde datacenter bevinden

  • VMware ESXi 7.0 (of hoger) is geïnstalleerd en wordt uitgevoerd.

    Als u een eerdere versie van ESXi hebt, moet u upgraden.

  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

Vereisten voor databaseserver

Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. De HDS-toepassingen maken na installatie het databaseschema.

Er zijn twee opties voor databaseserver. De vereisten voor elk ervan zijn als volgt:

Tabel 2. Vereisten voor databaseserver per type database

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

  • SQL Server 2016, 2017 of 2019 (Enterprise of Standaard) geïnstalleerd.

    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten)

Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten)

De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

PostgreSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

SQL Server JDBC-stuurprogramma 4.6

Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover-clusterinstanties en Always On-beschikbaarheidsgroepen).

Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

  • De HDS-knooppunten, de Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees- en schrijftoegang hebben tot de database.

  • De DNS-servers die u aan HDS-knooppunten verstrekt, moeten uw Key Distribution Center (KDC) kunnen oplossen.

  • U kunt het exemplaar van de HDS-database op uw Microsoft SQL-server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een hoofdnaam voor de service registreren voor Kerberos-verbindingen.

    De HDS-setuptool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de details uit uw ISO-configuratie om de SPN te maken wanneer ze toegang aanvragen met Kerberos-verificatie.

Vereisten voor externe connectiviteit

Configureer uw firewall om de volgende connectiviteit voor de HDS-toepassingen toe te staan:

Toepassing

Protocol

Poort

Richting vanuit app

Bestemming

Knooppunten voor hybride databeveiliging

TCP

443

Uitgaande HTTPS en WSS

  • Webex-servers:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-hosts

  • Andere URL's die voor hybride databeveiliging worden vermeld in de tabel Aanvullende URL's voor hybride Webex-services met Netwerkvereisten voor Webex-services

HDS-setuptool

TCP

443

Uitgaande HTTPS

  • *.wbx2.com

  • Alle Common Identity-hosts

  • hub.docker.com

De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de vorige tabel toestaat. Voor verbindingen die inkomend naar de knooppunten voor hybride databeveiliging gaan, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22 voor administratieve doeleinden.

De URL's voor de Common Identity-hosts (CI) zijn regiospecifiek. Dit zijn de huidige CI-hosts:

Regio

URL's van host van algemene identiteit

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europese Unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Verenigde Arabische Emiraten
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vereisten voor de proxy server

  • We ondersteunen de volgende proxy oplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride data beveiliging.

    • Transparante proxy: Cisco Web Security Appliance (WSA).

    • Expliciete proxy-pijlinktvis.

      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:) verstoren. Zie Squid-proxy's configureren voor hybride databeveiliging om dit probleem te omzeilen.

  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

    • Geen verificatie met HTTP of HTTPS

    • Basisverificatie met HTTP of HTTPS

    • Alleen verificatiesamenvatting met HTTPS

  • Voor een transparante inspectie proxy of een HTTPS-expliciete proxy moet u een kopie van de hoofdcertificaat van de proxy hebben. De implementatie-instructies in deze handleiding geven aan hoe u de kopie kunt uploaden naar de vertrouwens archieven van de hybride Data Security-knooppunten.

  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 af te ronden via de proxy.

  • Proxy's die het webverkeer controleren, kunnen de WebSocket-verbindingen belemmeren. Als dit probleem zich voordoet, kunt u het probleem oplossen door het verkeer niet te controleren op wbx2.com en ciscospark.com .

Voldoen aan de vereisten voor hybride databeveiliging

Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
1

Zorg ervoor dat uw partnerorganisatie de functie Multi-tenant HDS heeft ingeschakeld en haal de referenties op van een account met volledige partnerbeheerder en volledige beheerdersrechten. Zorg ervoor dat uw Webex-klantorganisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

Klantorganisaties mogen geen bestaande HDS-implementatie hebben.

2

Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

3

Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt minimaal twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter staan en die voldoen aan de vereisten in Vereisten voor virtuele hosts.

4

Bereid de databaseserver voor die fungeert als de belangrijkste gegevensopslag voor het cluster, volgens de Vereisten van de databaseserver. De databaseserver moet in het beveiligde datacenter samen met de virtuele hosts worden geplaatst.

  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik niet de standaarddatabase. De HDS-toepassingen maken na installatie het databaseschema.)

  2. Verzamel de details die de knooppunten gebruiken om te communiceren met de databaseserver:

    • de hostnaam of het IP-adres (host) en de poort

    • de naam van de database (dbname) voor sleutelopslag

    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de sleutelopslagdatabase

5

Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft waarop HDS-knooppunten worden uitgevoerd, moet de back-upomgeving 3 VM's hebben.

6

Stel een syslog-host in om logboeken van de knooppunten in het cluster te verzamelen. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

7

Maak een beveiligd back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.

Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die voor het coderen en decoderen van inhoud worden gebruikt, zal het niet onderhouden van een operationele implementatie leiden tot ONHERSTELBAAR VERLIES van die inhoud.

Webex-app-clients slaan hun sleutels in het cachegeheugen, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen onmogelijk te voorkomen zijn, zijn ze herstelbaar. Een volledig verlies (er zijn geen back-ups beschikbaar) van de database of het ISO-configuratiebestand zal echter resulteren in onherstelbare klantgegevens. Van de operatoren van de knooppunten voor hybride databeveiliging wordt verwacht dat ze frequente back-ups van de database en het ISO-configuratiebestand bijhouden en dat ze voorbereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als zich een catastrofale storing voordoet.

8

Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw knooppunten voor hybride databeveiliging mogelijk maakt, zoals beschreven in Vereisten voor externe connectiviteit.

9

Installeer Docker ( https://www.docker.com) op een lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft op http://127.0.0.1:8080.

U gebruikt de Docker-instantie om de HDS Setup Tool te downloaden en uit te voeren, waarmee de lokale configuratiegegevens voor alle knooppunten voor hybride databeveiliging worden opgebouwd. Mogelijk hebt u een Docker Desktop-licentie nodig. Zie Vereisten voor Docker-desktops voor meer informatie.

Als u de HDS-setuptool wilt installeren en uitvoeren, moet de lokale machine de verbinding hebben die wordt beschreven in Vereisten voor externe connectiviteit.

10

Als u een proxy integreert met hybride databeveiliging, moet u controleren of deze voldoet aan de vereisten voor de proxyserver.

Een cluster voor hybride databeveiliging instellen

Taakstroom implementatie hybride databeveiliging

Voordat u begint

1

Voer de eerste installatie uit en download installatiebestanden

Download het OVA-bestand naar uw lokale machine voor later gebruik.

2

Een configuratie-ISO voor de HDS-hosts maken

Gebruik de HDS-setuptool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

3

De HDS-host-OVA installeren

Maak een virtuele machine met het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.

De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 7.0. Deze optie is mogelijk niet beschikbaar in eerdere versies.

4

VM voor hybride databeveiliging instellen

Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

5

De HDS-configuratie-ISO uploaden en koppelen

Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-setuptool.

6

Configureer het HDS-knooppunt voor proxy-integratie

Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u het proxycertificaat indien nodig toe aan de vertrouwensopslag.

7

Het eerste knooppunt in het cluster registreren

Registreer de VM bij de Cisco Webex-cloud als knooppunt voor hybride databeveiliging.

8

Meer knooppunten maken en registreren

Voltooi de clustersetup.

9

Activeer HDS met meerdere tenants in Partner Hub.

Activeer HDS en beheer tenantorganisaties in Partner Hub.

Voer de eerste installatie uit en download installatiebestanden

In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). U kunt dit bestand later in het installatieproces gebruiken.

1

Meld u aan bij Partnerhub en klik vervolgens op Services.

2

Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik vervolgens op Instellen.

Het is essentieel voor het implementatieproces te klikken op Instellen in Partnerhub. Ga niet verder met de installatie zonder deze stap te voltooien.

3

Klik op Een resource toevoegen en klik op OVA-bestand downloaden op de kaart Software installeren en configureren .

Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de meest recente versie van het OVA-bestand downloadt.

U kunt de OVA ook op elk moment downloaden via het gedeelte Help . Klik op Instellingen > Help > Software voor hybride databeveiliging downloaden.

Het downloaden van het OVA-bestand wordt automatisch gestart. Sla het bestand op een locatie op uw computer op.
4

U kunt ook op Implementatiegids voor hybride databeveiliging bekijken klikken om te controleren of er een nieuwere versie van deze handleiding beschikbaar is.

Een configuratie-ISO voor de HDS-hosts maken

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

Voordat u begint

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Op de pagina ISO-import hebt u de volgende opties:

  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de blader en uploadt u het.
10

Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

  • Als u nog nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
  • Als uw certificaat OK is, klikt u op Doorgaan.
  • Als uw certificaat is verlopen of u het wilt vervangen, selecteert u Nee voor Doorgaan met het gebruik van de HDS-certificaatketen en privésleutel van vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
11

Voer het databaseadres en het account in voor HDS om toegang te krijgen tot uw belangrijke gegevensopslag:

  1. Selecteer uw databasetype (PostgreSQL of Microsoft SQL Server).

    Als u Microsoft SQL Server kiest, wordt het veld Verificatietype weergegeven.

  2. (Alleen Microsoft SQL-server ) Selecteer uw verificatietype:

    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam .

    • Windows-verificatie: U hebt een Windows-account nodig met de indeling gebruikersnaam@DOMEIN in het veld Gebruikersnaam .

  3. Voer het adres van de databaseserver in de vorm : of : in.

    Voorbeeld:
    dbhost.example.org:1433 of 198.51.100.17:1433

    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

  4. Voer de Databasenaam in.

  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten op de sleutelopslagdatabase.

12

Selecteer een TLS-databaseverbindingsmodus:

Mode

Beschrijving

Voorkeur geven aan TLS (standaardoptie)

HDS-knooppunten vereisen geen TLS om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

TLS verplichten

HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

TLS verplichten en certificaat ondertekenaar verifiëren

Deze modus is niet van toepassing op SQL Server-databases.

  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het Basiscertificaat van de database. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

TLS verplichten en certificaat ondertekenaar en hostnaam verifiëren

  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het Basiscertificaat van de database. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databashost en poort . De namen moeten exact overeenkomen, of de verbinding wordt door het knooppunt ingspunt laten merken.

Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-setuptool de TLS-verbinding met de databaseserver. De tool controleert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, wordt er een foutmelding weergegeven waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de machine van de HDS-setuptool deze niet kan testen.)

13

Configureer uw Syslogd-server op de pagina Systeemlogboeken:

  1. Voer de URL van de syslog-server in.

    Als de server niet door het DNS kan worden omgezet vanaf de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

    Voorbeeld:
    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij de Syslogd-host 10.92.43.23 op UDP-poort 514.
  2. Als u uw server zo instelt dat deze TLS-codering gebruikt, schakelt u het selectievakje Is uw syslog-server geconfigureerd voor SSL-codering? in.

    Als u dit selectievakje inschakelt, moet u een TCP-URL zoals tcp://10.92.43.23:514 invoeren.

  3. Kies in de vervolgkeuzelijst Syslog-record beëindigen kiezen de juiste instelling voor uw ISO-bestand: Kiezen of nieuwe lijn wordt gebruikt voor Graylog en Rsyslog TCP

    • Null byte -- \x00

    • Regeleinde -- \n: selecteer deze keuze voor Graylog en Rsyslog TCP.

  4. Klik op Doorgaan.

14

(Optioneel) U kunt de standaardwaarde voor sommige parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u mogelijk wilt wijzigen:

app_datasource_connection_pool_maxGrootte: 10
15

Klik op Doorgaan in het scherm Wachtwoord voor serviceaccounts herstellen .

Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u ze wilt herstellen om eerdere ISO-bestanden ongeldig te maken.

16

Klik op ISO-bestand downloaden. Sla het bestand op een eenvoudig te vinden locatie op.

17

Maak een back-up van het ISO-bestand op uw lokale systeem.

Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

18

Als u de setuptool wilt afsluiten, typt u CTRL+C.

De volgende stappen

Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten te maken voor herstel of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het is niet mogelijk om de sleutels te herstellen van uw PostgreSQL- of Microsoft SQL Server-database.

We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze verliest.

De HDS-host-OVA installeren

Gebruik deze procedure om een virtuele machine te maken van het OVA-bestand.
1

Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

2

Selecteer Bestand > OVF-sjabloon implementeren.

3

Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

4

Op de pagina Een naam en map selecteren voert u een naam van de virtuele machine in voor het knooppunt (bijvoorbeeld 'HDS_Node_1'), kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u op Volgende.

5

Kies op de pagina Een rekenresource selecteren de bestemming van de rekenresource en klik vervolgens op Volgende.

Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloongegevens weergegeven.

6

Controleer de sjabloongegevens en klik vervolgens op Volgende.

7

Als u wordt gevraagd de resourceneconfiguratie op de pagina Configuratie te kiezen, klikt u op 4 CPU en vervolgens op Volgende.

8

Klik op de pagina Opslag selecteren op Volgende om het standaard schijfindeling en het VM-opslagbeleid te accepteren.

9

Op de pagina Netwerken selecteren kiest u de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

10

Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen :

  • Hostnaam: voer de FQDN (hostnaam en domein) of een enkele woord hostnaam voor het knooppunt in.
    • U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

    • Gebruik alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld om een succesvolle registratie bij de cloud te garanderen. Hoofdletters worden momenteel niet ondersteund.

    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

  • IP-adres: voer het IP-adres in voor de interne interface van het knooppunt.

    Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

  • Masker: voer het adres van het subnetmasker in puntdecimale notatie in. Bijvoorbeeld 255.255.255.0.
  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat dienst doet als een toegangspunt naar een ander netwerk.
  • DNS-servers: voer een door komma's gescheiden lijst in met DNS-servers die domeinnamen naar numerieke IP-adressen vertalen. (Er zijn maximaal 4 DNS-vermeldingen toegestaan.)
  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die voor uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster voor administratieve doeleinden bereikbaar zijn vanaf clients in uw netwerk.

Indien gewenst kunt u de configuratie van de netwerkinstelling overslaan en de stappen volgen in De VM voor hybride databeveiliging instellen om de instellingen te configureren vanuit de knooppuntconsole.

De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 7.0. Deze optie is mogelijk niet beschikbaar in eerdere versies.

11

Klik met de rechtermuisknop op het knooppunt VM en kies Aan/uit > Inschakelen.

De software voor hybride databeveiliging wordt als gast geïnstalleerd op de VM-host. U bent nu klaar om u aan te melden bij de console en het knooppunt te configureren.

Tips voor probleemoplossing

U kunt een vertraging van enkele minuten ervaren voordat de knooppuntcontainers omhoog komen. Tijdens de eerste keer opstarten verschijnt een bridge-firewallbericht op de console, waarbij u zich niet kunt aanmelden.

VM voor hybride databeveiliging instellen

Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en om de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

1

Selecteer in de VMware vSphere-client de VM van uw knooppunt voor hybride databeveiliging en het tabblad Console .

De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldingsprompt niet wordt weergegeven, drukt u op Enter.
2

Gebruik de volgende standaardaanmeldgegevens en -wachtwoorden om u aan te melden en de aanmeldgegevens te wijzigen:

  1. Aanmelden: beheer

  2. Wachtwoord: Cisco

Aangezien u zich voor de eerste keer bij uw VM aanmeldt, moet u het beheerderswachtwoord wijzigen.

3

Als u de netwerkinstellingen al hebt geconfigureerd in De HDS-host-OVA installeren, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken .

4

Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

5

(Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om overeen te stemmen met uw netwerkbeleid.

U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

6

Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen worden doorgevoerd.

De HDS-configuratie-ISO uploaden en koppelen

Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-setuptool.

Voordat u begint

Omdat het ISO-bestand de hoofdsleutel bevat, mag deze alleen worden weergegeven op een 'need to know'-basis, voor toegang door de VM's van hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen deze beheerders toegang hebben tot de gegevensopslag.

1

Upload het ISO-bestand vanaf uw computer:

  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

  2. Klik op de lijst Hardware van het tabblad Configuratie op Opslag.

  3. Klik in de lijst Gegevensopslag met de rechtermuisknop op de gegevensopslag voor uw VM's en klik op Gegevensopslag bladeren.

  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

  6. Klik op Ja om de waarschuwing voor het uploaden/downloaden te accepteren en sluit het dialoogvenster Gegevensopslag.

2

Koppel het ISO-bestand:

  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  2. Klik op OK om de waarschuwing met beperkte bewerkingsopties te accepteren.

  3. Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanuit een ISO-bestand van de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

  4. Schakel Verbonden en Verbinding maken na inschakelen in.

  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

De volgende stappen

Als uw IT-beleid dat vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (optioneel) ISO ontkoppelen na HDS-configuratie voor meer informatie.

Configureer het HDS-knooppunt voor proxy-integratie

Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride gegevensbeveiliging. Als u een transparante inspectering proxy of een HTTPS-expliciete proxy kiest, kunt u de interface van het knooppunt gebruiken om de hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding vanuit de interface controleren en mogelijke problemen oplossen.

Voordat u begint

1

Voer de installatie-URL van het HDS-knooppunt https://[HDS node IP of FQDN]/Setup in een webbrowser in, voer de beheerders gegevens in die u hebt ingesteld voor het knooppunt en klik vervolgens op aanmelden.

2

Ga naar vertrouwens archieven voor vertrouwde proxyen kies een optie:

  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaat update vereist.
  • Transparent Non-Inspecting Proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaat update vereist.
  • Proxy transparant inspecteren: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen wijzigingen in de HTTPS-configuratie nodig voor de implementatie van hybride data beveiliging, de HDS-knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).
  • Expliciete proxy: met expliciete proxy vertelt u de client (HDS-knooppunten) welke proxyserver moet worden gebruikt en deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
    1. Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.

    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.

    3. Proxyprotocol: kies http (toont en beheert alle verzoeken die zijn ontvangen van de client) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

    4. Verificatietype: kies uit de volgende verificatietypen:

      • Geen: geen verdere verificatie is vereist.

        Beschikbaar voor HTTP-of HTTPS-proxy's.

      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.

        Beschikbaar voor HTTP-of HTTPS-proxy's.

        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

        Alleen beschikbaar voor HTTPS-proxy's.

        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

Volg de volgende stappen voor een transparante inspectie proxy, een HTTP Explicit-proxy met basisverificatie of een HTTPS-expliciete proxy.

3

Klik op een hoofdcertificaat of eindentiteit certificaat uploadenen navigeer vervolgens naar een kies de hoofdcertificaat voor de proxy.

Het certificaat is geüpload, maar is nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijlpunt punthaak op de naam van de certificaatuitgever voor meer informatie of klik op verwijderen Als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

4

Klik op proxy verbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

Als de verbindingstest mislukt, wordt er een foutbericht weergegeven met de reden en hoe u het probleem kunt oplossen.

Als u een bericht ziet dat de externe DNS-omzetting niet is geslaagd, kan het knooppunt de DNS-server niet bereiken. Deze situatie wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de geblokkeerde externe DNS-omzettingsmodus. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u vervolgens Modus voor geblokkeerde externe DNS-resolutie uitschakelen.

5

Nadat de verbindingstest is geslaagd, voor expliciete proxy ingesteld op alleen https, schakelt u het in-/uitschakelen in om alle poort 443/444 HTTPS-aanvragen van dit knooppunt te routeren via de expliciete proxy. Deze instelling vereist 15 seconden om van kracht te worden.

6

Klik op alle certificaten installeren in het vertrouwde archief (wordt weergegeven voor een HTTPS-expliciete proxy of een transparante inspectie proxy) of opnieuw opstarten (wordt weergegeven voor een http-expliciete proxy), lees de prompt en klik vervolgens op installeren Als u klaar bent.

Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

7

Nadat het knooppunt opnieuw is opgestart, meldt u zich opnieuw aan indien nodig en opent u de overzichts pagina om te controleren of ze allemaal in de groene status zijn.

De controle van de proxyverbinding test alleen een subdomein van webex.com. Als er problemen zijn met de verbinding, is een veelvoorkomend probleem dat sommige Cloud domeinen die worden vermeld in de installatie-instructies, worden geblokkeerd op de proxy.

Het eerste knooppunt in het cluster registreren

Bij deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in De VM voor hybride databeveiliging instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd voor redundantie.

Voordat u begint

  • Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.

  • Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik op Instellen.

4

Klik op de pagina die wordt geopend op Een resource toevoegen.

5

Voer in het eerste veld van de kaart Een knooppunt toevoegen een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

We raden u aan een cluster een naam te geven op basis van de plaats waar de knooppunten van de cluster zich geografisch bevinden. Voorbeelden: "San Francisco", "New York" of "Dallas"

6

Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Toevoegen onderaan het scherm.

Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein die u hebt gebruikt in De VM voor hybride databeveiliging instellen.

Er wordt een bericht weergegeven dat aangeeft dat u uw knooppunt kunt registreren bij de Webex.
7

Klik op Naar knooppunt gaan.

Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.

8

Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
9

Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging Partnerhub.

Op de pagina Hybride databeveiliging wordt de nieuwe cluster met het knooppunt dat u hebt geregistreerd weergegeven onder het tabblad Resources . Het knooppunt downloadt automatisch de nieuwste software uit de cloud.

Meer knooppunten maken en registreren

Om extra knooppunten aan uw cluster toe te voegen, maakt u extra VM's en koppelt u hetzelfde ISO-configuratiebestand. Vervolgens registreert u het knooppunt. We raden aan dat u minimaal 3 knooppunten hebt.

Voordat u begint

  • Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.

  • Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

1

Maak een nieuwe virtuele machine van de OVA en herhaal de stappen in De HDS-host-OVA installeren.

2

Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De VM voor hybride databeveiliging instellen.

3

Herhaal op de nieuwe VM de stappen in De HDS-configuratie-ISO uploaden en koppelen.

4

Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Het HDS-knooppunt configureren voor proxyintegratie indien nodig voor het nieuwe knooppunt.

5

Registreer het knooppunt.

  1. Selecteer in https://admin.webex.comServices in het menu aan de linkerkant van het scherm.

  2. Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik op Alles weergeven.

    De pagina Resources hybride databeveiliging wordt weergegeven.
  3. Het nieuwe cluster wordt weergegeven op de pagina Resources .

  4. Klik op het cluster om de knooppunten weer te geven die aan het cluster zijn toegewezen.

  5. Klik op Een knooppunt toevoegen aan de rechterkant van het scherm.

  6. Voer het interne IP-adres of de volledig gekwalificeerde domeinnaam van uw knooppunt in en klik op Toevoegen.

    Er wordt een pagina geopend met een bericht dat aangeeft dat u uw knooppunt kunt registreren bij de Webex-cloud. Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging Partnerhub.

    Het pop-upbericht Knooppunt toegevoegd wordt ook onderaan het scherm in Partnerhub weergegeven.

    Uw knooppunt is geregistreerd.

Tenantorganisaties beheren voor hybride databeveiliging met meerdere tenants

HDS met meerdere tenants activeren in Partner Hub

Deze taak zorgt ervoor dat alle gebruikers van de klantorganisaties HDS kunnen gaan gebruiken voor lokale coderingssleutels en andere beveiligingsservices.

Voordat u begint

Zorg ervoor dat u het instellen van uw HDS-cluster met meerdere tenants hebt voltooid met het vereiste aantal knooppunten.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Instellingen bewerken.

4

Klik op HDS activeren op de kaart HDS-status .

Tenantorganisaties toevoegen in Partner Hub

In deze taak wijst u klantorganisaties toe aan uw cluster voor hybride databeveiliging.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Alles weergeven.

4

Klik op het cluster waaraan u wilt dat een klant wordt toegewezen.

5

Ga naar het tabblad Toegewezen klanten .

6

Klik op Klanten toevoegen.

7

Selecteer de klant die u wilt toevoegen in het vervolgkeuzemenu.

8

Klik op Toevoegen. De klant wordt aan het cluster toegevoegd.

9

Herhaal stap 6 tot en met 8 om meerdere klanten aan uw cluster toe te voegen.

10

Klik op Gereed onderaan het scherm zodra u de klanten hebt toegevoegd.

De volgende stappen

Voer de HDS-setuptool uit zoals beschreven in Hoofdsleutels voor klanten maken (CMK's) met de HDS-setuptool om het setupproces te voltooien.

Hoofdsleutels voor de klant maken met de HDS-setuptool

Voordat u begint

Wijs klanten toe aan het juiste cluster zoals beschreven in Tenantorganisaties toevoegen in Partner Hub. Voer de HDS-setuptool uit om het setupproces voor de nieuw toegevoegde klantorganisaties te voltooien.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Partnerhub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:

    • Aanmeldgegevens database

    • Certificaatupdates

    • Wijzigingen in autorisatiebeleid

  • Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Klik op de pagina ISO-import op Ja.

10

Selecteer uw ISO-bestand in de browser en upload het.

Zorg ervoor dat u verbinding hebt met uw database om CMK-beheer uit te voeren.
11

Ga naar het tabblad Tenant CMK-beheer . Hier vindt u de volgende drie manieren om tenant-CMK's te beheren.

  • CMK maken voor alle organisaties of CMK maken : klik op deze knop in de banner bovenaan het scherm om CMK's te maken voor alle nieuw toegevoegde organisaties.
  • Klik op de knop CMK's beheren aan de rechterkant van het scherm en klik op CMK's maken om CMK's te maken voor alle nieuw toegevoegde organisaties.
  • Klik op ... in de buurt van de status CMK-beheer in behandeling van een specifieke organisatie in de tabel en klik op CMK maken om CMK voor die organisatie te maken.
12

Wanneer het maken van CMK is gelukt, verandert de status in de tabel van CMK-beheer in behandeling in CMK beheerd.

13

Als het maken van CMK is mislukt, wordt een fout weergegeven.

Tenantorganisaties verwijderen

Voordat u begint

Na het verwijderen, kunnen gebruikers van klantorganisaties HDS niet meer gebruiken voor hun coderingsbehoeften en verliezen alle bestaande ruimten. Neem contact op met uw Cisco-partner of accountmanager voordat u klantorganisaties verwijdert.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Alles weergeven.

4

Klik op het tabblad Resources op het cluster waarvan u klantorganisaties wilt verwijderen.

5

Klik op de pagina die wordt geopend op Toegewezen klanten.

6

Klik in de lijst met klantorganisaties die worden weergegeven op ... aan de rechterkant van de klantorganisatie die u wilt verwijderen en klik op Verwijderen uit cluster.

De volgende stappen

Voltooi het verwijderingsproces door de CMK's van de klantorganisaties in te trekken, zoals beschreven in CMK's van tenants die zijn verwijderd uit HDS intrekken.

CMK's van tenants die zijn verwijderd uit HDS intrekken.

Voordat u begint

Verwijder klanten uit het juiste cluster zoals beschreven in Tenantorganisaties verwijderen. Voer de HDS-setuptool uit om het verwijderingsproces voor de klantorganisaties die zijn verwijderd te voltooien.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Partnerhub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:

    • Aanmeldgegevens database

    • Certificaatupdates

    • Wijzigingen in autorisatiebeleid

  • Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Klik op de pagina ISO-import op Ja.

10

Selecteer uw ISO-bestand in de browser en upload het.

11

Ga naar het tabblad Tenant CMK-beheer . Hier vindt u de volgende drie manieren om tenant-CMK's te beheren.

  • CMK intrekken voor alle organisaties of CMK intrekken - Klik op deze knop in de banner bovenaan het scherm om de CMK's van alle organisaties die zijn verwijderd in te trekken.
  • Klik op de knop CMK's beheren aan de rechterkant van het scherm en klik op CMK's intrekken om de CMK's van alle organisaties die zijn verwijderd in te trekken.
  • Klik op ... in de buurt van de CMK die moet worden ingetrokken status van een specifieke organisatie in de tabel en klik op CMK intrekken om CMK voor die specifieke organisatie in te trekken.
12

Wanneer CMK-intrekking is gelukt, wordt de klantorganisatie niet meer in de tabel weergegeven.

13

Als de CMK-intrekking mislukt, wordt een fout weergegeven.

Uw implementatie voor hybride databeveiliging testen

Uw implementatie van hybride databeveiliging testen

Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging met meerdere tenants te testen.

Voordat u begint

  • Stel uw implementatie voor hybride databeveiliging met meerdere tenants in.

  • Zorg ervoor dat u toegang hebt tot het syslog om te controleren of belangrijke verzoeken naar uw implementatie van hybride databeveiliging met meerdere tenants worden doorgegeven.

1

Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de gebruikers van de klantorganisatie en maak vervolgens een ruimte.

Als u de implementatie voor hybride databeveiliging deactiveert, is inhoud in ruimten die gebruikers maken niet meer toegankelijk zodra de kopieën in de cache van de client van de coderingssleutels zijn vervangen.

2

Verzend berichten naar de nieuwe ruimte.

3

Controleer de syslog-uitvoer om te verifiëren of de sleutelverzoeken naar uw implementatie voor hybride databeveiliging gaan.

  1. Als u wilt controleren of een gebruiker eerst een beveiligd kanaal naar de KMS instelt, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

    U vindt een vermelding als het volgende (identifiers shortened for readability):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_SLEUTEL_VERZAMELING, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. Als u wilt controleren of een gebruiker een bestaande sleutel van de KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. Als u wilt controleren of een gebruiker een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
  4. Als u wilt controleren of een gebruiker een nieuw KMS Resource Object (KRO) aanvraagt wanneer een omgeving of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hybride databeveiliging controleren

Een statusindicator in Partnerhub geeft aan of alles in orde is met de implementatie van hybride databeveiliging met meerdere tenants. Als u proactief belt, meldt u zich aan voor e-mailmeldingen. U wordt geïnformeerd wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
1

Selecteer in Partnerhub de optie Services in het menu aan de linkerkant van het scherm.

2

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Instellingen bewerken.

De pagina Instellingen hybride databeveiliging wordt weergegeven.
3

Typ in het gedeelte E-mailmeldingen een of meer door komma's gescheiden e-mailadressen en druk op Enter.

Uw HDS-implementatie beheren

HDS-implementatie beheren

Gebruik de taken die hier worden beschreven om uw implementatie van hybride databeveiliging te beheren.

Planning van clusterupgrade instellen

Software-upgrades voor hybride databeveiliging worden automatisch op clusterniveau uitgevoerd, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens de upgradeplanning voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie het cluster handmatig vóór het geplande tijdstip van de upgrade te upgraden. U kunt een specifiek upgradeschema instellen of het standaardschema gebruiken van 3:00 uur Dagelijks in de Verenigde Staten: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

De upgradeplanning instellen:

1

Meld u aan bij Partner Hub.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices hybride databeveiliging en klik op Instellen

4

Selecteer het cluster op de pagina Resources hybride databeveiliging.

5

Klik op het tabblad Clusterinstellingen .

6

Selecteer op de pagina Clusterinstellingen bij Upgradeplanning de tijd en tijdzone voor de upgradeplanning.

Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen tot de volgende dag door op 24 uur uitstellen te klikken.

De knooppuntconfiguratie wijzigen

Soms moet u de configuratie van uw knooppunt voor hybride databeveiliging wijzigen vanwege een bijvoorbeeld:
  • X.509-certificaten wijzigen vanwege vervaldatum of andere redenen.

    We ondersteunen het wijzigen van de CN-domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om de cluster te registreren.

  • Database-instellingen bijwerken om te wijzigen in een kopie van de PostgreSQL- of Microsoft SQL Server-database.

    We ondersteunen het migreren van gegevens van PostgreSQL naar Microsoft SQL Server niet, of op de omgekeerde manier. Als u wilt schakelen tussen de databaseomgevingen, moet u een nieuwe implementatie van hybride databeveiliging starten.

  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

Bovendien gebruikt Hybride databeveiliging voor beveiligingsdoeleinden wachtwoorden voor serviceaccounts die een levensduur van negen maanden hebben. Nadat de HDS-setuptool deze wachtwoorden heeft gegenereerd, implementeert u deze in uw HDS-knooppunten in het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een melding van het Webex-team om het wachtwoord voor uw machineaccount opnieuw in te stellen. (Het e-mailbericht bevat de tekst: 'Gebruik het machineaccount API om het wachtwoord bij te werken.') Als uw wachtwoord nog niet is verlopen, geeft de tool u twee opties:

  • Zachte reset: de oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO-bestand op de knooppunten stapsgewijs te vervangen.

  • Harde reset: de oude wachtwoorden werken niet direct meer.

Als uw wachtwoorden verlopen zonder opnieuw in te stellen, is dit van invloed op uw HDS-service, waarvoor onmiddellijke harde reset en vervanging van het ISO-bestand op alle knooppunten nodig is.

Gebruik deze procedure om een nieuw ISO-configuratiebestand te genereren en dit toe te passen op uw cluster.

Voordat u begint

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de referenties van een Partnerhub-account met volledige partnerbeheerdersrechten vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container in 1.e opent. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel voor de versleuteling van PostgreSQL of Microsoft SQL Server-database. U hebt de ISO nodig wanneer u configuratiewijzigingen aan aanbrengen, waaronder databasereferenties, certificaatupdates of wijzigingen aan autorisatiebeleid.

1

Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

  1. Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

    In normale omgevingen:

    docker rmi ciscocitg/hds-setup:stabiel

    In FedRAMP-omgevingen:

    docker rmi ciscocitg/hds-setup-fedramp:stabiel

    Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

  2. Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

    docker login -u hdscustomersro
  3. Voer bij de wachtwoordprompt deze hash in:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Download de nieuwste stabiele afbeelding voor uw omgeving:

    In normale omgevingen:

    docker pull ciscocitg/hds-setup:stabiel

    In FedRAMP-omgevingen:

    docker pull ciscocitg/hds-setup-fedramp:stabiel

    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 hebben niet de schermen voor het opnieuw instellen van wachtwoorden.

  5. Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

    • In normale omgevingen zonder proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • In normale omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In normale omgevingen met HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In FedRAMP-omgevingen zonder een proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.

    De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

  7. Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de klant van uw Partnerhub in en klikt u vervolgens op Accepteren om door te gaan.

  8. Importeer het huidige ISO-configuratiebestand.

  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

    Als u de setuptool wilt afsluiten, typt u CTRL+C.

  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

2

Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor hybride databeveiliging en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

  1. Installeer de HDS-host-OVA.

  2. Stel de HDS-VM in.

  3. Koppel het bijgewerkte configuratiebestand.

  4. Registreer het nieuwe knooppunt in Partnerhub.

3

Voor bestaande HDS-knooppunten waar het oudere configuratiebestand op wordt uitgevoerd, moet u het ISO-bestand onder brengen. Voer de volgende procedure uit op elk knooppunt. Werk elk knooppunt bij voordat u het volgende knooppunt uit schakelen:

  1. Schakel de virtuele machine uit.

  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  3. Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

  4. Schakel het selectievakje Verbinding maken na inschakelen in.

  5. Sla uw wijzigingen op en schakel de virtuele machine in.

4

Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

Geblokkeerde externe DNS-omzettingsmodus uitschakelen

Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. Als de DNS-server van het knooppunt geen publieke DNS-namen kan omzetten, wordt het knooppunt automatisch in de geblokkeerde externe DNS-omzettingsmodus geplaatst.

Als uw knooppunten publieke DNS-namen kunnen omzetten via interne DNS-servers, kunt u deze modus uitschakelen door de proxy verbindingstest opnieuw uit te voeren op elk knooppunt.

Voordat u begint

Zorg ervoor dat uw interne DNS-servers publieke DNS-namen kunnen omzetten en dat uw knooppunten met hen kunnen communiceren.
1

Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/setup, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt instelt en klik vervolgens op Aanmelden.

2

Ga naar overzicht (de standaardpagina).

Indien ingeschakeld, wordt de geblokkeerde externe DNS-omzetting ingesteld op Ja.

3

Ga naar de pagina vertrouwde winkel >-proxy .

4

Klik op proxy verbinding controleren.

Als er een bericht wordt weergegeven met de melding dat de externe DNS-omzetting niet is geslaagd, is het knooppunt niet in staat om de DNS-server te bereiken en blijft deze in deze modus. Anders moet de geblokkeerde externe DNS-omzetting worden ingesteld op Nee als u het knooppunt opnieuw hebt opgestart en teruggaat naar de overzichtspagina.

De volgende stappen

Herhaal de proxy verbindingstest op elk knooppunt in uw cluster voor hybride data beveiliging.

Een knooppunt verwijderen

Gebruik deze procedure om een knooppunt voor hybride databeveiliging te verwijderen uit de Webex-cloud. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
1

Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en schakel de virtuele machine uit.

2

Verwijder het knooppunt:

  1. Meld u aan bij Partnerhub en selecteer Services.

  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources hybride databeveiliging weer te geven.

  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

  4. Klik op het knooppunt dat u wilt verwijderen.

  5. Klik op Dit knooppunt afmelden in het deelvenster dat aan de rechterkant wordt weergegeven

  6. U kunt de registratie van het knooppunt ook ongedaan maken door te klikken op … aan de rechterkant van het knooppunt en Dit knooppunt verwijderen te selecteren.

3

Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

Als u de VM niet verwijdert, vergeet dan niet om het ISO-configuratiebestand te ontkoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken voor toegang tot uw beveiligingsgegevens.

Noodherstel met behulp van stand-bydatacenter

De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt om berichten en andere inhoud die is opgeslagen in de Webex-cloud te coderen. Voor elke gebruiker in de organisatie die is toegewezen aan hybride databeveiliging, worden aanvragen voor het maken van nieuwe sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de gemaakte sleutels aan alle gebruikers die bevoegd zijn om deze op te halen, bijvoorbeeld leden van een gespreksruimte.

Omdat het cluster de kritieke functie uitvoert voor het leveren van deze sleutels, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden onderhouden. Verlies van de database voor hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van klantinhoud. Om dergelijk verlies te voorkomen, zijn de volgende praktijken verplicht:

Als de HDS-implementatie in het primaire datacenter niet beschikbaar wordt door een ramp, volgt u deze procedure om handmatig failover naar het stand-bydatacenter te maken.

Voordat u begint

De registratie van alle knooppunten van Partnerhub ongedaan maken, zoals vermeld in Een knooppunt verwijderen. Gebruik het nieuwste ISO-bestand dat is geconfigureerd voor de knooppunten van het cluster dat eerder actief was, om de hieronder vermelde failoverprocedure uit te voeren.
1

Start de HDS-setuptool en volg de stappen die worden vermeld in Een configuratie-ISO voor de HDS-hosts maken.

2

Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

3

Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

4

Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

5

Klik op Instellingen bewerken >CD/DVD-station 1 en selecteer ISO-gegevensopslagbestand.

Zorg ervoor dat Verbonden en Verbinding maken bij inschakelen zijn ingeschakeld, zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

6

Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 15 minuten geen alarmen zijn.

7

Registreer het knooppunt in Partnerhub. Raadpleeg Het eerste knooppunt in het cluster registreren.

8

Herhaal het proces voor elk knooppunt in het stand-bydatacenter.

De volgende stappen

Als het primaire datacenter na failover weer actief wordt, verwijdert u de registratie van de knooppunten van het stand-bydatacenter en herhaalt u het proces van configuratie van de ISO en registratie van de knooppunten van het primaire datacenter, zoals hierboven vermeld.

(Optioneel) ISO ontkoppelen na HDS-configuratie

De standaard HDS-configuratie wordt uitgevoerd met de aangekoppelde ISO. Sommige klanten geven er echter de voorkeur aan dat ISO-bestanden niet continu worden gekoppeld. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

U gebruikt nog steeds de ISO-bestanden om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de setuptool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra alle knooppunten de configuratiewijzigingen hebben opgehaald, kunt u de ISO opnieuw loskoppelen met deze procedure.

Voordat u begint

Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

1

Sluit een van uw HDS-knooppunten af.

2

Selecteer het HDS-knooppunt in het vCenter Server Appliance.

3

Kies Instellingen bewerken > CD/DVD-station en schakel ISO-gegevensopslagbestand uit.

4

Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 20 minuten geen alarmen zijn.

5

Herhaal om de beurt voor elk HDS-knooppunt.

Problemen met hybride databeveiliging oplossen

Waarschuwingen weergeven en problemen oplossen

Een implementatie van Hybride databeveiliging wordt als niet beschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als de cluster zo langzaam werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

  • Er kunnen geen nieuwe ruimten worden gemaakt (kan geen nieuwe sleutels maken)

  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

    • Nieuwe gebruikers die aan een ruimte zijn toegevoegd (kunnen geen sleutels ophalen)

    • Bestaande gebruikers in een ruimte met een nieuwe client (kunnen geen sleutels ophalen)

  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

Het is belangrijk dat u uw cluster voor hybride databeveiliging goed controleert en alle waarschuwingen onmiddellijk adresseert om onderbreking van de service te voorkomen.

Waarschuwingen

Als er een probleem is met de configuratie van hybride databeveiliging, geeft Partnerhub waarschuwingen weer aan de organisatiebeheerder en verzendt u e-mails naar het geconfigureerde e-mailadres. De waarschuwingen behandelen veel algemene scenario's.

Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

Waarschuwen

Actie

Lokale databasetoegang mislukt.

Controleer op databasefouten of problemen met het lokale netwerk.

Verbinding met lokale database mislukt.

Controleer of de databaseserver beschikbaar is en of de juiste referenties van het serviceaccount zijn gebruikt in de knooppuntconfiguratie.

Toegang tot cloudservice mislukt.

Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Vereisten voor externe connectiviteit.

De registratie van cloudservice wordt verlengd.

Registratie bij cloudservices is verbroken. De registratie wordt verlengd.

Registratie van cloudservice verbroken.

Registratie bij cloudservices is beëindigd. Service wordt afgesloten.

Service nog niet geactiveerd.

HDS activeren in Partnerhub.

Het geconfigureerde domein komt niet overeen met het servercertificaat.

Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

De meest waarschijnlijke oorzaak is dat de algemene naam van het certificaat onlangs is gewijzigd en nu anders is dan de algemene naam die tijdens de eerste installatie is gebruikt.

Kan niet verifiëren bij cloudservices.

Controleer op de nauwkeurigheid en mogelijke vervaldatum van de referenties van het serviceaccount.

Openen van lokaal keystore-bestand is mislukt.

Controleer op integriteit en wachtwoordnauwkeurigheid in het lokale keystore-bestand.

Het lokale servercertificaat is ongeldig.

Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

Kan statistieken niet plaatsen.

Controleer de toegang van het lokale netwerk tot externe cloudservices.

De map /media/configdrive/hds bestaat niet.

Controleer de ISO-koppelconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om te koppelen bij opnieuw opstarten en of het met succes wordt gekoppeld.

De tenantorganisatie-instellingen zijn niet voltooid voor de toegevoegde organisaties

Voltooi de installatie door CMK's te maken voor nieuw toegevoegde tenantorganisaties met de HDS-setuptool.

De tenantorganisatie is niet voltooid voor de verwijderde organisaties

Voltooi de installatie door CMK's van tenantorganisaties die zijn verwijderd met de HDS-setuptool in te trekken.

Problemen met hybride databeveiliging oplossen

Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met Hybride databeveiliging.
1

Controleer Partnerhub voor waarschuwingen en los alle items op die u daar vindt. Zie de afbeelding hieronder ter referentie.

2

Controleer de uitvoer van de Syslog-server voor activiteit van de implementatie van hybride databeveiliging. Filter op woorden als 'Waarschuwing' en 'Fout' om problemen op te lossen.

3

Neem contact op met Cisco-ondersteuning.

Overige opmerkingen

Bekende problemen voor hybride databeveiliging

  • Als u uw cluster voor hybride databeveiliging afsluit (door deze te verwijderen in Partner Hub of door alle knooppunten te sluiten), uw ISO-configuratiebestand te verliezen of de toegang tot de keystore-database te verliezen, kunnen gebruikers van de Webex-app van klantorganisaties niet langer ruimten gebruiken onder hun lijst Personen die zijn gemaakt met sleutels van uw KMS. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en we verzoeken u dringend uw HDS-services niet te beëindigen zodra deze actieve gebruikersaccounts afhandelen.

  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een bepaalde tijd (waarschijnlijk één uur).

OpenSSL gebruiken om een PKCS12-bestand te genereren

Voordat u begint

  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS-setuptool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten de ene weg niet boven de andere.

  • Als u ervoor kiest OpenSSL te gebruiken, bieden we deze procedure als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

  • Maak een privésleutel.

  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificerende instantie (CA).

1

Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

2

Geef het certificaat weer als tekst en verifieer de details.

openssl x509 -text -noout -in hdsnode.pem

3

Gebruik een tekstverwerker om een certificaatbundelbestand met de naam hdsnode-bundle.pem te maken. Het bundelbestand moet het servercertificaat, eventuele tussenliggende CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

----BEGIN CERTIFICATE------ ### Servercertificaat. ### -----END CERTIFICATE----------BEGIN CERTIFICATE----- ### Tussenliggend CA-certificaat. ### ----END CERTIFICATE----------BEGIN CERTIFICATE----- ### Basis CA-certificaat. ### -----END CERTIFICATE-----

4

Maak het .p12-bestand met de beschrijvende naam kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -naam kms-private-key -caname kms-private-key -out hdsnode.p12

5

Controleer de details van het servercertificaat.

  1. openssl pkcs12 -in hdsnode.p12

  2. Voer bij de prompt een wachtwoord in om de privésleutel te coderen zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de regels bevatten friendlyName: kms-privésleutel.

    Voorbeeld:

    bash$ openssl pkcs12 -in hdsnode.p12 Voer importwachtwoord in: Mac heeft OK Bag Attributes geverifieerd friendlyName: kms-privésleutel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Sleutelkenmerken:  Voer de PEM-wachtwoordzin in: Verifiëren - Voer de PEM-wachtwoordzin in: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-privésleutel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

De volgende stappen

Keer terug naar Aan de vereisten voor hybride databeveiliging voldoen. U gebruikt het bestand hdsnode.p12 en het wachtwoord dat u ervoor hebt ingesteld in Een configuratie-ISO voor de HDS-hosts maken.

U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

Verkeer tussen de HDS-knooppunten en de cloud

Verzamelverkeer uitgaande statistieken

De knooppunten voor hybride databeveiliging verzenden bepaalde statistieken naar de Webex-cloud. Hieronder vallen systeemstatistieken voor max. heap, gebruikte heap, CPU-belasting en threadtelling; statistieken op synchrone en asynchrone threads; statistieken over waarschuwingen met een drempel voor coderingsverbindingen, latentie of een aanvraagwachtrijlengte; statistieken in de gegevensopslag; en statistieken voor coderingsverbinding. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (afzonderlijk van het verzoek) kanaal.

Inkomend verkeer

De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer van de Webex-cloud:

  • Coderingsverzoeken van clients, die door de coderingsservice worden gerouteerd

  • Upgrades van de knooppuntsoftware

Het configureren van inktvis-Proxy's voor hybride data beveiliging

WebSocket kan geen verbinding maken via de inktvis-proxy

Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:) verstoren die vereist zijn voor hybride databeveiliging. Deze secties bevatten leidraden voor het configureren van verschillende versies van inktvis om WSS te negeren: verkeer voor de juiste werking van de services.

Pijlinktvis 4 en 5

Voeg de on_unsupported_protocol richtlijn toe aan squid.conf:

on_unsupported_protocol alles tunnel

Inktvis 3.5.27

De hybride gegevensbeveiliging is getest met de volgende regels die zijn toegevoegd aan inktvis. conf. Deze regels kunnen worden gewijzigd wanneer we functies ontwikkelen en de Webex Cloud bijwerken.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl stap1 at_step SslBump1 acl stap2 at_step SslBump2 acl stap3 at_step SslBump3 ssl_bump bekijk stap1 alle ssl_bump staren stap2 alle ssl_bump bump stap3 alle

Nieuwe en gewijzigde informatie

Nieuwe en gewijzigde informatie

Deze tabel bevat nieuwe functies of functionaliteiten, wijzigingen in bestaande inhoud en belangrijke fouten die zijn opgelost in de Implementatiehandleiding voor hybride databeveiliging met meerdere tenants.

Datum

Wijzigingen aangebracht

8 januari 2025

Er is een opmerking toegevoegd in Eerste installatie uitvoeren en installatiebestanden downloaden waarin staat dat het klikken op Instellen op de HDS-kaart in Partner Hub een belangrijke stap is in het installatieproces.

7 januari 2025

Bijgewerkte vereisten voor virtuele host, taakstroom voor implementatie van hybride databeveiliging en installeer de HDS-host-OVA om de nieuwe ESXi 7.0-vereiste weer te geven.

13 december 2024

Eerst gepubliceerd.

Hybride databeveiliging met meerdere tenants deactiveren

Taakstroom voor deactivering van HDS met meerdere tenants

Volg deze stappen om HDS met meerdere tenants volledig te deactiveren.

Voordat u begint

Deze taak mag alleen worden uitgevoerd door een volledige partnerbeheerder.
1

Verwijder alle klanten uit al uw clusters, zoals vermeld in Tenantorganisaties verwijderen.

2

Trek de CMK's van alle klanten in, zoals vermeld in CMK's van tenants die zijn verwijderd uit HDS intrekken..

3

Verwijder alle knooppunten uit al uw clusters, zoals vermeld in Een knooppunt verwijderen.

4

Verwijder al uw clusters uit Partnerhub met een van de volgende twee methoden.

  • Klik op het cluster dat u wilt verwijderen en selecteer Dit cluster verwijderen in de rechterbovenhoek van de overzichtspagina.
  • Klik op de pagina Resources op ... aan de rechterkant van een cluster en selecteer Cluster verwijderen.
5

Klik op het tabblad Instellingen op de overzichtspagina Hybride databeveiliging en klik op HDS deactiveren op de HDS-statuskaart.

Aan de slag met hybride databeveiliging voor meerdere tenants

Overzicht van hybride databeveiliging met meerdere tenants

Vanaf dag één is gegevensbeveiliging de primaire focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end-inhoudscodering, ingeschakeld door clients van de Webex-app die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografiesleutels die clients gebruiken om berichten en bestanden dynamisch te coderen en te decoderen.

Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride databeveiliging verplaatst de KMS en andere beveiligingsgerelateerde functies naar uw bedrijfsdatacenter, dus niemand maar u beschikt over de sleutels voor uw gecodeerde inhoud.

Met Hybride databeveiliging voor meerdere tenants kunnen organisaties HDS gebruiken via een vertrouwde lokale partner, die kan optreden als serviceprovider en codering en andere beveiligingsservices op locatie kan beheren. Met deze instelling kan de partnerorganisatie volledige controle hebben over de implementatie en het beheer van coderingssleutels en zorgen ervoor dat gebruikersgegevens van klantorganisaties veilig zijn tegen externe toegang. Partnerorganisaties stellen HDS-instanties in en maken indien nodig HDS-clusters. Elk exemplaar kan meerdere klantorganisaties ondersteunen, in tegenstelling tot een reguliere HDS-implementatie die beperkt is tot één organisatie.

Hoewel partnerorganisaties de implementatie en het beheer onder controle hebben, hebben ze geen toegang tot gegevens en inhoud die door klanten zijn gegenereerd. Deze toegang is beperkt tot klantorganisaties en hun gebruikers.

Hierdoor kunnen kleinere organisaties ook HDS gebruiken, omdat sleutelbeheerservice en beveiligingsinfrastructuur zoals datacenters eigendom zijn van de vertrouwde lokale partner.

Hoe hybride databeveiliging met meerdere tenants gegevenssoevereiniteit en gegevenscontrole biedt

  • Door gebruikers gegenereerde inhoud wordt beschermd tegen externe toegang, zoals cloudserviceproviders.
  • Lokale vertrouwde partners beheren de coderingssleutels van klanten met wie ze al een bestaande relatie hebben.
  • Optie voor lokale technische ondersteuning, indien verstrekt door de partner.
  • Ondersteunt inhoud voor vergaderingen, berichten en gesprekken.

Dit document is bedoeld om partnerorganisaties te helpen bij het instellen en beheren van klanten onder een systeem voor hybride databeveiliging met meerdere tenants.

Rollen in hybride databeveiliging met meerdere tenants

  • Volledige partnerbeheerder : kan instellingen beheren voor alle klanten die de partner beheert. Kan ook beheerdersrollen toewijzen aan bestaande gebruikers in de organisatie en specifieke klanten toewijzen die moeten worden beheerd door partnerbeheerders.
  • Partnerbeheerder : kan instellingen beheren voor klanten die door de beheerder zijn ingericht of die aan de gebruiker zijn toegewezen.
  • Volledige beheerder - Beheerder van de partnerorganisatie die bevoegd is om taken uit te voeren zoals het wijzigen van organisatie-instellingen, het beheren van licenties en het toewijzen van rollen.
  • End-to-end installatie en beheer van alle klantorganisaties met meerdere tenants : volledige partnerbeheerder en volledige beheerdersrechten vereist.
  • Beheer van toegewezen tenantorganisaties : partnerbeheerders en volledige beheerdersrechten vereist.

Architectuur beveiligingsrealm

De Webex-cloudarchitectuur scheidt verschillende typen services in verschillende realms of vertrouwensdomeinen, zoals hieronder afgebeeld.

Gescheiden ruimten (zonder hybride databeveiliging)

Laten we voor meer informatie over hybride databeveiliging eerst naar deze pure cloudcase kijken, waarbij Cisco alle functies in zijn clouddomeinen biedt. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks gecorreleerd kunnen worden met hun persoonlijke informatie, zoals hun e-mailadres, staat logischerwijs en fysiek los van de beveiligingsruimte in datacenter B. Beide staan op hun beurt los van de ruimte waar gecodeerde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

In dit diagram is de client de Webex-app die op de laptop van een gebruiker wordt uitgevoerd en is de identiteitsservice geverifieerd. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

  1. De client brengt een beveiligde verbinding tot stand met de sleutelbeheerservice (KMS) en vraagt vervolgens een sleutel aan om het bericht te coderen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

  2. Het bericht wordt gecodeerd voordat het de client verlaat. De client verzendt deze naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

  3. Het gecodeerde bericht wordt naar de nalevingsservice verzonden voor nalevingscontroles.

  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

Wanneer u hybride databeveiliging implementeert, verplaatst u de functies van de beveiligingsregio (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de rijken van Cisco.

Samenwerken met andere organisaties

Gebruikers in uw organisatie kunnen regelmatig de Webex-app gebruiken om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, leidt uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS op te halen. Vervolgens stuurt u de sleutel terug naar uw gebruiker op het oorspronkelijke kanaal.

De KMS-service die op Organisatie A wordt uitgevoerd, valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat dat u wilt gebruiken met uw implementatie van hybride databeveiliging met meerdere tenants.

Verwachtingen voor het implementeren van hybride databeveiliging

Een implementatie van Hybride databeveiliging vereist aanzienlijke inzet en een besef van de risico's die verbonden zijn aan het bezitten van coderingssleutels.

Voor het implementeren van hybride databeveiliging moet u het volgende opgeven:

Volledig verlies van de configuratie-ISO die u voor hybride databeveiliging maakt of de database die u opgeeft, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers ruimte-inhoud en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar is alleen nieuwe inhoud zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

  • Beheer de back-up en het herstel van de database en de configuratie-ISO.

  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing van de databaseselectie of een ramp in een datacenter.

Er is geen mechanisme om sleutels terug naar de cloud te verplaatsen na een HDS-implementatie.

Installatieproces op hoog niveau

In dit document worden de installatie en het beheer van een implementatie van hybride databeveiliging met meerdere tenants behandeld:

  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het bouwen van een HDS-cluster, het toevoegen van tenantorganisaties aan de cluster en het beheren van hun Customer Main Keys (CMK's). Hiermee kunnen alle gebruikers van uw klantorganisaties uw cluster voor hybride databeveiliging gebruiken voor beveiligingsfuncties.

    De installatie-, activerings- en beheerfasen worden in detail behandeld in de volgende drie hoofdstukken.

  • Uw implementatie van hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch doorlopende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig contact opnemen met Cisco-ondersteuning. U kunt meldingen op het scherm gebruiken en waarschuwingen op basis van e-mail instellen in Partner Hub.

  • Algemene waarschuwingen, stappen voor het oplossen van problemen en bekende problemen begrijpen: als u problemen ondervindt met het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen bij het bepalen en oplossen van het probleem.

Implementatiemodel voor hybride databeveiliging

In uw bedrijfsdatacenter implementeert u hybride databeveiliging als een enkele cluster knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

Tijdens het installatieproces voorzien we u van het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt koppelt. Het cluster voor hybride databeveiliging gebruikt uw opgegeven Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de Syslogd- en databaseverbindingsgegevens in de HDS-setuptool.)

Implementatiemodel voor hybride databeveiliging

Het minimum aantal knooppunten dat u in een cluster kunt hebben, is twee. We raden ten minste drie per cluster aan. Het hebben van meerdere knooppunten zorgt ervoor dat de service niet wordt onderbroken tijdens een software-upgrade of andere onderhoudsactiviteiten op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

Alle knooppunten in een cluster hebben toegang tot dezelfde belangrijke gegevensopslag en logboekactiviteit tot dezelfde syslog-server. De knooppunten zelf zijn staatloos en handelen sleutelverzoeken af op ronde-robin-manier, zoals aangegeven door de cloud.

Knooppunten worden actief wanneer u ze registreert in Partner Hub. Als u een afzonderlijk knooppunt uit dienst wilt nemen, kunt u de registratie ongedaan maken en later indien nodig opnieuw registreren.

Stand-by-datacenter voor noodherstel

Tijdens de implementatie stelt u een beveiligd stand-by datacenter in. In het geval van een datacenterramp kunt u de implementatie handmatig naar het stand-bydatacenter mislukken.

Vóór de failover heeft Datacenter A actieve HDS-knooppunten en de primaire PostgreSQL- of Microsoft SQL-serverdatabase, terwijl B een kopie heeft van het ISO-bestand met aanvullende configuraties, VM's die bij de organisatie zijn geregistreerd en een stand-bydatabase. Na failover heeft datacenter B actieve HDS-knooppunten en de primaire database, terwijl A niet-geregistreerde VM's en een kopie van het ISO-bestand heeft en de database in de stand-bymodus staat.
Handmatig failover naar stand-bydatacenter

De databases van de actieve en stand-bydatacenters zijn gesynchroniseerd met elkaar, waardoor de tijd die nodig is om de failover uit te voeren, wordt geminimaliseerd.

De actieve knooppunten voor hybride databeveiliging moeten zich altijd in hetzelfde datacenter bevinden als de actieve databaseserver.

Proxy ondersteuning

Hybride gegevensbeveiliging biedt ondersteuning voor expliciete, transparante inspectie en het niet-geïnspecteerde proxy's. U kunt deze proxy's koppelen aan uw implementatie zodat u verkeer van de onderneming kunt beveiligen en controleren naar de Cloud. U kunt een platformbeheer interface gebruiken op de knooppunten voor certificaatbeheer en de algehele verbindingsstatus controleren nadat u de proxy op de knooppunten hebt ingesteld.

De knooppunten voor hybride data beveiliging ondersteunen de volgende proxy opties:

  • Geen proxy: de standaard als u het HDS-knooppunt niet gebruikt, stelt u de vertrouwensarchief- en proxyconfiguratie in om een proxy te integreren. Er is geen certificaat update vereist.

  • Transparante proxy zonder inspectie: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres en hoeven geen wijzigingen te vereisen om te werken met een proxy zonder inspectie. Er is geen certificaat update vereist.

  • Transparent tunneling of inspecting proxy: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres. Er zijn geen HTTP-of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).

  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welke proxyserver en verificatieschema moeten worden gebruikt. Als u een expliciete proxy wilt configureren, moet u op elk knooppunt de volgende informatie invoeren:

    1. Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.

    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.

    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

      • HTTP: alle aanvragen die de client verzendt, worden weergegeven en beheerd.

      • HTTPS: geeft een kanaal aan de server. De client ontvangt en valideert het certificaat van de server.

    4. Verificatietype: kies uit de volgende verificatietypen:

      • Geen: geen verdere verificatie is vereist.

        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.

        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

        Alleen beschikbaar als u HTTPS als proxy protocol selecteert.

        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

Voorbeeld van knooppunten en proxy voor hybride data beveiliging

Dit diagram toont een voorbeeld van een verbinding tussen de hybride gegevensbeveiliging, het netwerk en een proxy. Voor de instellingen voor transparant inspecteren en HTTPS expliciet controleren, moeten dezelfde hoofdcertificaat op de proxy en op de knooppunten voor hybride data beveiliging worden geïnstalleerd.

Geblokkeerde externe DNS-omzettingsmodus (expliciete proxy configuraties)

Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. In implementaties met expliciete proxyconfiguraties die geen externe DNS-omzetting voor interne clients toestaan, als het knooppunt de DNS-servers niet kan opvragen, wordt de geblokkeerde externe DNS-omzettingsmodus automatisch ingeschakeld. In deze modus kan de registratie van knooppunten en andere proxy connectiviteitstests worden voortgezet.

Uw omgeving voorbereiden

Vereisten voor hybride databeveiliging met meerdere tenants

Cisco Webex-licentievereisten

Hybride databeveiliging met meerdere tenants implementeren:

  • Partnerorganisaties: Neem contact op met uw Cisco-partner of accountmanager en zorg ervoor dat de functie voor meerdere tenants is ingeschakeld.

  • Tenantorganisaties: U moet het Pro-pakket voor Cisco Webex Control Hub hebben. (Zie https://www.cisco.com/go/pro-pack.)

X.509-certificaatvereisten

De certificaatketen moet aan de volgende vereisten voldoen:

Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

Vereiste

Details

  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

Standaard vertrouwen we de CA's in de lijst met Mozilla (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

  • Draagt een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

  • Is geen wildcardcertificaat

De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die overeenkomt met uw organisatie, bijvoorbeeld hds.bedrijf.com.

De algemene naam mag geen * (jokerteken) bevatten.

De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren naar Webex-app-clients. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

Wanneer u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam.

  • Niet-SHA1-handtekening

De KMS-software biedt geen ondersteuning voor SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

  • Opgemaakt als een met een wachtwoord beveiligd PKCS #12-bestand

  • Gebruik de beschrijvende naam kms-private-key om het certificaat, de privésleutel en eventuele aanvullende certificaten te taggen om te uploaden.

U kunt een conversieprogramma zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

U moet het wachtwoord invoeren wanneer u de HDS-setuptool uitvoert.

De KMS-software dwingt geen beperkingen op het sleutelgebruik of het uitgebreide sleutelgebruik af. Sommige certificeringsinstanties vereisen dat uitgebreide gebruiksbeperkingen voor elk certificaat worden toegepast, zoals serververificatie. Het is oké om de serververificatie of andere instellingen te gebruiken.

Vereisten voor virtuele host

De virtuele hosts die u als knooppunten voor hybride databeveiliging in uw cluster instelt, hebben de volgende vereisten:

  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich samen in hetzelfde beveiligde datacenter bevinden

  • VMware ESXi 7.0 (of hoger) is geïnstalleerd en wordt uitgevoerd.

    Als u een eerdere versie van ESXi hebt, moet u upgraden.

  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

Vereisten voor databaseserver

Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. De HDS-toepassingen maken na installatie het databaseschema.

Er zijn twee opties voor databaseserver. De vereisten voor elk ervan zijn als volgt:

Tabel 2. Vereisten voor databaseserver per type database

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

  • SQL Server 2016, 2017 of 2019 (Enterprise of Standaard) geïnstalleerd.

    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten)

Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten)

De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

PostgreSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

SQL Server JDBC-stuurprogramma 4.6

Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover-clusterinstanties en Always On-beschikbaarheidsgroepen).

Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

  • De HDS-knooppunten, de Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees- en schrijftoegang hebben tot de database.

  • De DNS-servers die u aan HDS-knooppunten verstrekt, moeten uw Key Distribution Center (KDC) kunnen oplossen.

  • U kunt het exemplaar van de HDS-database op uw Microsoft SQL-server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een hoofdnaam voor de service registreren voor Kerberos-verbindingen.

    De HDS-setuptool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de details uit uw ISO-configuratie om de SPN te maken wanneer ze toegang aanvragen met Kerberos-verificatie.

Vereisten voor externe connectiviteit

Configureer uw firewall om de volgende connectiviteit voor de HDS-toepassingen toe te staan:

Toepassing

Protocol

Poort

Richting vanuit app

Bestemming

Knooppunten voor hybride databeveiliging

TCP

443

Uitgaande HTTPS en WSS

  • Webex-servers:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-hosts

  • Andere URL's die voor hybride databeveiliging worden vermeld in de tabel Aanvullende URL's voor hybride Webex-services met Netwerkvereisten voor Webex-services

HDS-setuptool

TCP

443

Uitgaande HTTPS

  • *.wbx2.com

  • Alle Common Identity-hosts

  • hub.docker.com

De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de vorige tabel toestaat. Voor verbindingen die inkomend naar de knooppunten voor hybride databeveiliging gaan, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22 voor administratieve doeleinden.

De URL's voor de Common Identity-hosts (CI) zijn regiospecifiek. Dit zijn de huidige CI-hosts:

Regio

URL's van host van algemene identiteit

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europese Unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Verenigde Arabische Emiraten
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vereisten voor de proxy server

  • We ondersteunen de volgende proxy oplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride data beveiliging.

    • Transparante proxy: Cisco Web Security Appliance (WSA).

    • Expliciete proxy-pijlinktvis.

      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:) verstoren. Zie Squid-proxy's configureren voor hybride databeveiliging om dit probleem te omzeilen.

  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

    • Geen verificatie met HTTP of HTTPS

    • Basisverificatie met HTTP of HTTPS

    • Alleen verificatiesamenvatting met HTTPS

  • Voor een transparante inspectie proxy of een HTTPS-expliciete proxy moet u een kopie van de hoofdcertificaat van de proxy hebben. De implementatie-instructies in deze handleiding geven aan hoe u de kopie kunt uploaden naar de vertrouwens archieven van de hybride Data Security-knooppunten.

  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 af te ronden via de proxy.

  • Proxy's die het webverkeer controleren, kunnen de WebSocket-verbindingen belemmeren. Als dit probleem zich voordoet, kunt u het probleem oplossen door het verkeer niet te controleren op wbx2.com en ciscospark.com .

Voldoen aan de vereisten voor hybride databeveiliging

Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
1

Zorg ervoor dat uw partnerorganisatie de functie Multi-tenant HDS heeft ingeschakeld en haal de referenties op van een account met volledige partnerbeheerder en volledige beheerdersrechten. Zorg ervoor dat uw Webex-klantorganisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

Klantorganisaties mogen geen bestaande HDS-implementatie hebben.

2

Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

3

Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt minimaal twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter staan en die voldoen aan de vereisten in Vereisten voor virtuele hosts.

4

Bereid de databaseserver voor die fungeert als de belangrijkste gegevensopslag voor het cluster, volgens de Vereisten van de databaseserver. De databaseserver moet in het beveiligde datacenter samen met de virtuele hosts worden geplaatst.

  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik niet de standaarddatabase. De HDS-toepassingen maken na installatie het databaseschema.)

  2. Verzamel de details die de knooppunten gebruiken om te communiceren met de databaseserver:

    • de hostnaam of het IP-adres (host) en de poort

    • de naam van de database (dbname) voor sleutelopslag

    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de sleutelopslagdatabase

5

Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft waarop HDS-knooppunten worden uitgevoerd, moet de back-upomgeving 3 VM's hebben.

6

Stel een syslog-host in om logboeken van de knooppunten in het cluster te verzamelen. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

7

Maak een beveiligd back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.

Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die voor het coderen en decoderen van inhoud worden gebruikt, zal het niet onderhouden van een operationele implementatie leiden tot ONHERSTELBAAR VERLIES van die inhoud.

Webex-app-clients slaan hun sleutels in het cachegeheugen, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen onmogelijk te voorkomen zijn, zijn ze herstelbaar. Een volledig verlies (er zijn geen back-ups beschikbaar) van de database of het ISO-configuratiebestand zal echter resulteren in onherstelbare klantgegevens. Van de operatoren van de knooppunten voor hybride databeveiliging wordt verwacht dat ze frequente back-ups van de database en het ISO-configuratiebestand bijhouden en dat ze voorbereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als zich een catastrofale storing voordoet.

8

Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw knooppunten voor hybride databeveiliging mogelijk maakt, zoals beschreven in Vereisten voor externe connectiviteit.

9

Installeer Docker ( https://www.docker.com) op een lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft op http://127.0.0.1:8080.

U gebruikt de Docker-instantie om de HDS Setup Tool te downloaden en uit te voeren, waarmee de lokale configuratiegegevens voor alle knooppunten voor hybride databeveiliging worden opgebouwd. Mogelijk hebt u een Docker Desktop-licentie nodig. Zie Vereisten voor Docker-desktops voor meer informatie.

Als u de HDS-setuptool wilt installeren en uitvoeren, moet de lokale machine de verbinding hebben die wordt beschreven in Vereisten voor externe connectiviteit.

10

Als u een proxy integreert met hybride databeveiliging, moet u controleren of deze voldoet aan de vereisten voor de proxyserver.

Een cluster voor hybride databeveiliging instellen

Taakstroom implementatie hybride databeveiliging

Voordat u begint

1

Voer de eerste installatie uit en download installatiebestanden

Download het OVA-bestand naar uw lokale machine voor later gebruik.

2

Een configuratie-ISO voor de HDS-hosts maken

Gebruik de HDS-setuptool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

3

De HDS-host-OVA installeren

Maak een virtuele machine met het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.

De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 7.0. Deze optie is mogelijk niet beschikbaar in eerdere versies.

4

VM voor hybride databeveiliging instellen

Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

5

De HDS-configuratie-ISO uploaden en koppelen

Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-setuptool.

6

Configureer het HDS-knooppunt voor proxy-integratie

Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u het proxycertificaat indien nodig toe aan de vertrouwensopslag.

7

Het eerste knooppunt in het cluster registreren

Registreer de VM bij de Cisco Webex-cloud als knooppunt voor hybride databeveiliging.

8

Meer knooppunten maken en registreren

Voltooi de clustersetup.

9

Activeer HDS met meerdere tenants in Partner Hub.

Activeer HDS en beheer tenantorganisaties in Partner Hub.

Voer de eerste installatie uit en download installatiebestanden

In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). U kunt dit bestand later in het installatieproces gebruiken.

1

Meld u aan bij Partnerhub en klik vervolgens op Services.

2

Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik vervolgens op Instellen.

Het is essentieel voor het implementatieproces te klikken op Instellen in Partnerhub. Ga niet verder met de installatie zonder deze stap te voltooien.

3

Klik op Een resource toevoegen en klik op OVA-bestand downloaden op de kaart Software installeren en configureren .

Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de meest recente versie van het OVA-bestand downloadt.

U kunt de OVA ook op elk moment downloaden via het gedeelte Help . Klik op Instellingen > Help > Software voor hybride databeveiliging downloaden.

Het downloaden van het OVA-bestand wordt automatisch gestart. Sla het bestand op een locatie op uw computer op.
4

U kunt ook op Implementatiegids voor hybride databeveiliging bekijken klikken om te controleren of er een nieuwere versie van deze handleiding beschikbaar is.

Een configuratie-ISO voor de HDS-hosts maken

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

Voordat u begint

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Op de pagina ISO-import hebt u de volgende opties:

  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de blader en uploadt u het.
10

Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

  • Als u nog nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
  • Als uw certificaat OK is, klikt u op Doorgaan.
  • Als uw certificaat is verlopen of u het wilt vervangen, selecteert u Nee voor Doorgaan met het gebruik van de HDS-certificaatketen en privésleutel van vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
11

Voer het databaseadres en het account in voor HDS om toegang te krijgen tot uw belangrijke gegevensopslag:

  1. Selecteer uw databasetype (PostgreSQL of Microsoft SQL Server).

    Als u Microsoft SQL Server kiest, wordt het veld Verificatietype weergegeven.

  2. (Alleen Microsoft SQL-server ) Selecteer uw verificatietype:

    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam .

    • Windows-verificatie: U hebt een Windows-account nodig met de indeling gebruikersnaam@DOMEIN in het veld Gebruikersnaam .

  3. Voer het adres van de databaseserver in de vorm : of : in.

    Voorbeeld:
    dbhost.example.org:1433 of 198.51.100.17:1433

    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

  4. Voer de Databasenaam in.

  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten op de sleutelopslagdatabase.

12

Selecteer een TLS-databaseverbindingsmodus:

Mode

Beschrijving

Voorkeur geven aan TLS (standaardoptie)

HDS-knooppunten vereisen geen TLS om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

TLS verplichten

HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

TLS verplichten en certificaat ondertekenaar verifiëren

Deze modus is niet van toepassing op SQL Server-databases.

  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het Basiscertificaat van de database. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

TLS verplichten en certificaat ondertekenaar en hostnaam verifiëren

  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het Basiscertificaat van de database. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databashost en poort . De namen moeten exact overeenkomen, of de verbinding wordt door het knooppunt ingspunt laten merken.

Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-setuptool de TLS-verbinding met de databaseserver. De tool controleert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, wordt er een foutmelding weergegeven waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de machine van de HDS-setuptool deze niet kan testen.)

13

Configureer uw Syslogd-server op de pagina Systeemlogboeken:

  1. Voer de URL van de syslog-server in.

    Als de server niet door het DNS kan worden omgezet vanaf de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

    Voorbeeld:
    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij de Syslogd-host 10.92.43.23 op UDP-poort 514.
  2. Als u uw server zo instelt dat deze TLS-codering gebruikt, schakelt u het selectievakje Is uw syslog-server geconfigureerd voor SSL-codering? in.

    Als u dit selectievakje inschakelt, moet u een TCP-URL zoals tcp://10.92.43.23:514 invoeren.

  3. Kies in de vervolgkeuzelijst Syslog-record beëindigen kiezen de juiste instelling voor uw ISO-bestand: Kiezen of nieuwe lijn wordt gebruikt voor Graylog en Rsyslog TCP

    • Null byte -- \x00

    • Regeleinde -- \n: selecteer deze keuze voor Graylog en Rsyslog TCP.

  4. Klik op Doorgaan.

14

(Optioneel) U kunt de standaardwaarde voor sommige parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u mogelijk wilt wijzigen:

app_datasource_connection_pool_maxGrootte: 10
15

Klik op Doorgaan in het scherm Wachtwoord voor serviceaccounts herstellen .

Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u ze wilt herstellen om eerdere ISO-bestanden ongeldig te maken.

16

Klik op ISO-bestand downloaden. Sla het bestand op een eenvoudig te vinden locatie op.

17

Maak een back-up van het ISO-bestand op uw lokale systeem.

Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

18

Als u de setuptool wilt afsluiten, typt u CTRL+C.

De volgende stappen

Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten te maken voor herstel of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het is niet mogelijk om de sleutels te herstellen van uw PostgreSQL- of Microsoft SQL Server-database.

We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze verliest.

De HDS-host-OVA installeren

Gebruik deze procedure om een virtuele machine te maken van het OVA-bestand.
1

Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

2

Selecteer Bestand > OVF-sjabloon implementeren.

3

Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

4

Op de pagina Een naam en map selecteren voert u een naam van de virtuele machine in voor het knooppunt (bijvoorbeeld 'HDS_Node_1'), kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u op Volgende.

5

Kies op de pagina Een rekenresource selecteren de bestemming van de rekenresource en klik vervolgens op Volgende.

Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloongegevens weergegeven.

6

Controleer de sjabloongegevens en klik vervolgens op Volgende.

7

Als u wordt gevraagd de resourceneconfiguratie op de pagina Configuratie te kiezen, klikt u op 4 CPU en vervolgens op Volgende.

8

Klik op de pagina Opslag selecteren op Volgende om het standaard schijfindeling en het VM-opslagbeleid te accepteren.

9

Op de pagina Netwerken selecteren kiest u de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

10

Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen :

  • Hostnaam: voer de FQDN (hostnaam en domein) of een enkele woord hostnaam voor het knooppunt in.
    • U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

    • Gebruik alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld om een succesvolle registratie bij de cloud te garanderen. Hoofdletters worden momenteel niet ondersteund.

    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

  • IP-adres: voer het IP-adres in voor de interne interface van het knooppunt.

    Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

  • Masker: voer het adres van het subnetmasker in puntdecimale notatie in. Bijvoorbeeld 255.255.255.0.
  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat dienst doet als een toegangspunt naar een ander netwerk.
  • DNS-servers: voer een door komma's gescheiden lijst in met DNS-servers die domeinnamen naar numerieke IP-adressen vertalen. (Er zijn maximaal 4 DNS-vermeldingen toegestaan.)
  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die voor uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster voor administratieve doeleinden bereikbaar zijn vanaf clients in uw netwerk.

Indien gewenst kunt u de configuratie van de netwerkinstelling overslaan en de stappen volgen in De VM voor hybride databeveiliging instellen om de instellingen te configureren vanuit de knooppuntconsole.

De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 7.0. Deze optie is mogelijk niet beschikbaar in eerdere versies.

11

Klik met de rechtermuisknop op het knooppunt VM en kies Aan/uit > Inschakelen.

De software voor hybride databeveiliging wordt als gast geïnstalleerd op de VM-host. U bent nu klaar om u aan te melden bij de console en het knooppunt te configureren.

Tips voor probleemoplossing

U kunt een vertraging van enkele minuten ervaren voordat de knooppuntcontainers omhoog komen. Tijdens de eerste keer opstarten verschijnt een bridge-firewallbericht op de console, waarbij u zich niet kunt aanmelden.

VM voor hybride databeveiliging instellen

Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en om de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

1

Selecteer in de VMware vSphere-client de VM van uw knooppunt voor hybride databeveiliging en het tabblad Console .

De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldingsprompt niet wordt weergegeven, drukt u op Enter.
2

Gebruik de volgende standaardaanmeldgegevens en -wachtwoorden om u aan te melden en de aanmeldgegevens te wijzigen:

  1. Aanmelden: beheer

  2. Wachtwoord: Cisco

Aangezien u zich voor de eerste keer bij uw VM aanmeldt, moet u het beheerderswachtwoord wijzigen.

3

Als u de netwerkinstellingen al hebt geconfigureerd in De HDS-host-OVA installeren, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken .

4

Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

5

(Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om overeen te stemmen met uw netwerkbeleid.

U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

6

Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen worden doorgevoerd.

De HDS-configuratie-ISO uploaden en koppelen

Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-setuptool.

Voordat u begint

Omdat het ISO-bestand de hoofdsleutel bevat, mag deze alleen worden weergegeven op een 'need to know'-basis, voor toegang door de VM's van hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen deze beheerders toegang hebben tot de gegevensopslag.

1

Upload het ISO-bestand vanaf uw computer:

  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

  2. Klik op de lijst Hardware van het tabblad Configuratie op Opslag.

  3. Klik in de lijst Gegevensopslag met de rechtermuisknop op de gegevensopslag voor uw VM's en klik op Gegevensopslag bladeren.

  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

  6. Klik op Ja om de waarschuwing voor het uploaden/downloaden te accepteren en sluit het dialoogvenster Gegevensopslag.

2

Koppel het ISO-bestand:

  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  2. Klik op OK om de waarschuwing met beperkte bewerkingsopties te accepteren.

  3. Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanuit een ISO-bestand van de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

  4. Schakel Verbonden en Verbinding maken na inschakelen in.

  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

De volgende stappen

Als uw IT-beleid dat vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (optioneel) ISO ontkoppelen na HDS-configuratie voor meer informatie.

Configureer het HDS-knooppunt voor proxy-integratie

Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride gegevensbeveiliging. Als u een transparante inspectering proxy of een HTTPS-expliciete proxy kiest, kunt u de interface van het knooppunt gebruiken om de hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding vanuit de interface controleren en mogelijke problemen oplossen.

Voordat u begint

1

Voer de installatie-URL van het HDS-knooppunt https://[HDS node IP of FQDN]/Setup in een webbrowser in, voer de beheerders gegevens in die u hebt ingesteld voor het knooppunt en klik vervolgens op aanmelden.

2

Ga naar vertrouwens archieven voor vertrouwde proxyen kies een optie:

  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaat update vereist.
  • Transparent Non-Inspecting Proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaat update vereist.
  • Proxy transparant inspecteren: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen wijzigingen in de HTTPS-configuratie nodig voor de implementatie van hybride data beveiliging, de HDS-knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).
  • Expliciete proxy: met expliciete proxy vertelt u de client (HDS-knooppunten) welke proxyserver moet worden gebruikt en deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
    1. Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.

    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.

    3. Proxyprotocol: kies http (toont en beheert alle verzoeken die zijn ontvangen van de client) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

    4. Verificatietype: kies uit de volgende verificatietypen:

      • Geen: geen verdere verificatie is vereist.

        Beschikbaar voor HTTP-of HTTPS-proxy's.

      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.

        Beschikbaar voor HTTP-of HTTPS-proxy's.

        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

        Alleen beschikbaar voor HTTPS-proxy's.

        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

Volg de volgende stappen voor een transparante inspectie proxy, een HTTP Explicit-proxy met basisverificatie of een HTTPS-expliciete proxy.

3

Klik op een hoofdcertificaat of eindentiteit certificaat uploadenen navigeer vervolgens naar een kies de hoofdcertificaat voor de proxy.

Het certificaat is geüpload, maar is nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijlpunt punthaak op de naam van de certificaatuitgever voor meer informatie of klik op verwijderen Als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

4

Klik op proxy verbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

Als de verbindingstest mislukt, wordt er een foutbericht weergegeven met de reden en hoe u het probleem kunt oplossen.

Als u een bericht ziet dat de externe DNS-omzetting niet is geslaagd, kan het knooppunt de DNS-server niet bereiken. Deze situatie wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de geblokkeerde externe DNS-omzettingsmodus. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u vervolgens Modus voor geblokkeerde externe DNS-resolutie uitschakelen.

5

Nadat de verbindingstest is geslaagd, voor expliciete proxy ingesteld op alleen https, schakelt u het in-/uitschakelen in om alle poort 443/444 HTTPS-aanvragen van dit knooppunt te routeren via de expliciete proxy. Deze instelling vereist 15 seconden om van kracht te worden.

6

Klik op alle certificaten installeren in het vertrouwde archief (wordt weergegeven voor een HTTPS-expliciete proxy of een transparante inspectie proxy) of opnieuw opstarten (wordt weergegeven voor een http-expliciete proxy), lees de prompt en klik vervolgens op installeren Als u klaar bent.

Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

7

Nadat het knooppunt opnieuw is opgestart, meldt u zich opnieuw aan indien nodig en opent u de overzichts pagina om te controleren of ze allemaal in de groene status zijn.

De controle van de proxyverbinding test alleen een subdomein van webex.com. Als er problemen zijn met de verbinding, is een veelvoorkomend probleem dat sommige Cloud domeinen die worden vermeld in de installatie-instructies, worden geblokkeerd op de proxy.

Het eerste knooppunt in het cluster registreren

Bij deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in De VM voor hybride databeveiliging instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd voor redundantie.

Voordat u begint

  • Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.

  • Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik op Instellen.

4

Klik op de pagina die wordt geopend op Een resource toevoegen.

5

Voer in het eerste veld van de kaart Een knooppunt toevoegen een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

We raden u aan een cluster een naam te geven op basis van de plaats waar de knooppunten van de cluster zich geografisch bevinden. Voorbeelden: "San Francisco", "New York" of "Dallas"

6

Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Toevoegen onderaan het scherm.

Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein die u hebt gebruikt in De VM voor hybride databeveiliging instellen.

Er wordt een bericht weergegeven dat aangeeft dat u uw knooppunt kunt registreren bij de Webex.
7

Klik op Naar knooppunt gaan.

Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.

8

Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
9

Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging Partnerhub.

Op de pagina Hybride databeveiliging wordt de nieuwe cluster met het knooppunt dat u hebt geregistreerd weergegeven onder het tabblad Resources . Het knooppunt downloadt automatisch de nieuwste software uit de cloud.

Meer knooppunten maken en registreren

Om extra knooppunten aan uw cluster toe te voegen, maakt u extra VM's en koppelt u hetzelfde ISO-configuratiebestand. Vervolgens registreert u het knooppunt. We raden aan dat u minimaal 3 knooppunten hebt.

Voordat u begint

  • Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.

  • Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

1

Maak een nieuwe virtuele machine van de OVA en herhaal de stappen in De HDS-host-OVA installeren.

2

Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De VM voor hybride databeveiliging instellen.

3

Herhaal op de nieuwe VM de stappen in De HDS-configuratie-ISO uploaden en koppelen.

4

Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Het HDS-knooppunt configureren voor proxyintegratie indien nodig voor het nieuwe knooppunt.

5

Registreer het knooppunt.

  1. Selecteer in https://admin.webex.comServices in het menu aan de linkerkant van het scherm.

  2. Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik op Alles weergeven.

    De pagina Resources hybride databeveiliging wordt weergegeven.
  3. Het nieuwe cluster wordt weergegeven op de pagina Resources .

  4. Klik op het cluster om de knooppunten weer te geven die aan het cluster zijn toegewezen.

  5. Klik op Een knooppunt toevoegen aan de rechterkant van het scherm.

  6. Voer het interne IP-adres of de volledig gekwalificeerde domeinnaam van uw knooppunt in en klik op Toevoegen.

    Er wordt een pagina geopend met een bericht dat aangeeft dat u uw knooppunt kunt registreren bij de Webex-cloud. Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging Partnerhub.

    Het pop-upbericht Knooppunt toegevoegd wordt ook onderaan het scherm in Partnerhub weergegeven.

    Uw knooppunt is geregistreerd.

Tenantorganisaties beheren voor hybride databeveiliging met meerdere tenants

HDS met meerdere tenants activeren in Partner Hub

Deze taak zorgt ervoor dat alle gebruikers van de klantorganisaties HDS kunnen gaan gebruiken voor lokale coderingssleutels en andere beveiligingsservices.

Voordat u begint

Zorg ervoor dat u het instellen van uw HDS-cluster met meerdere tenants hebt voltooid met het vereiste aantal knooppunten.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Instellingen bewerken.

4

Klik op HDS activeren op de kaart HDS-status .

Tenantorganisaties toevoegen in Partner Hub

In deze taak wijst u klantorganisaties toe aan uw cluster voor hybride databeveiliging.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Alles weergeven.

4

Klik op het cluster waaraan u wilt dat een klant wordt toegewezen.

5

Ga naar het tabblad Toegewezen klanten .

6

Klik op Klanten toevoegen.

7

Selecteer de klant die u wilt toevoegen in het vervolgkeuzemenu.

8

Klik op Toevoegen. De klant wordt aan het cluster toegevoegd.

9

Herhaal stap 6 tot en met 8 om meerdere klanten aan uw cluster toe te voegen.

10

Klik op Gereed onderaan het scherm zodra u de klanten hebt toegevoegd.

De volgende stappen

Voer de HDS-setuptool uit zoals beschreven in Hoofdsleutels voor klanten maken (CMK's) met de HDS-setuptool om het setupproces te voltooien.

Hoofdsleutels voor de klant maken met de HDS-setuptool

Voordat u begint

Wijs klanten toe aan het juiste cluster zoals beschreven in Tenantorganisaties toevoegen in Partner Hub. Voer de HDS-setuptool uit om het setupproces voor de nieuw toegevoegde klantorganisaties te voltooien.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Partnerhub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:

    • Aanmeldgegevens database

    • Certificaatupdates

    • Wijzigingen in autorisatiebeleid

  • Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Klik op de pagina ISO-import op Ja.

10

Selecteer uw ISO-bestand in de browser en upload het.

Zorg ervoor dat u verbinding hebt met uw database om CMK-beheer uit te voeren.
11

Ga naar het tabblad Tenant CMK-beheer . Hier vindt u de volgende drie manieren om tenant-CMK's te beheren.

  • CMK maken voor alle organisaties of CMK maken : klik op deze knop in de banner bovenaan het scherm om CMK's te maken voor alle nieuw toegevoegde organisaties.
  • Klik op de knop CMK's beheren aan de rechterkant van het scherm en klik op CMK's maken om CMK's te maken voor alle nieuw toegevoegde organisaties.
  • Klik op ... in de buurt van de status CMK-beheer in behandeling van een specifieke organisatie in de tabel en klik op CMK maken om CMK voor die organisatie te maken.
12

Wanneer het maken van CMK is gelukt, verandert de status in de tabel van CMK-beheer in behandeling in CMK beheerd.

13

Als het maken van CMK is mislukt, wordt een fout weergegeven.

Tenantorganisaties verwijderen

Voordat u begint

Na het verwijderen, kunnen gebruikers van klantorganisaties HDS niet meer gebruiken voor hun coderingsbehoeften en verliezen alle bestaande ruimten. Neem contact op met uw Cisco-partner of accountmanager voordat u klantorganisaties verwijdert.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Alles weergeven.

4

Klik op het tabblad Resources op het cluster waarvan u klantorganisaties wilt verwijderen.

5

Klik op de pagina die wordt geopend op Toegewezen klanten.

6

Klik in de lijst met klantorganisaties die worden weergegeven op ... aan de rechterkant van de klantorganisatie die u wilt verwijderen en klik op Verwijderen uit cluster.

De volgende stappen

Voltooi het verwijderingsproces door de CMK's van de klantorganisaties in te trekken, zoals beschreven in CMK's van tenants die zijn verwijderd uit HDS intrekken.

CMK's van tenants die zijn verwijderd uit HDS intrekken.

Voordat u begint

Verwijder klanten uit het juiste cluster zoals beschreven in Tenantorganisaties verwijderen. Voer de HDS-setuptool uit om het verwijderingsproces voor de klantorganisaties die zijn verwijderd te voltooien.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Partnerhub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:

    • Aanmeldgegevens database

    • Certificaatupdates

    • Wijzigingen in autorisatiebeleid

  • Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Klik op de pagina ISO-import op Ja.

10

Selecteer uw ISO-bestand in de browser en upload het.

11

Ga naar het tabblad Tenant CMK-beheer . Hier vindt u de volgende drie manieren om tenant-CMK's te beheren.

  • CMK intrekken voor alle organisaties of CMK intrekken - Klik op deze knop in de banner bovenaan het scherm om de CMK's van alle organisaties die zijn verwijderd in te trekken.
  • Klik op de knop CMK's beheren aan de rechterkant van het scherm en klik op CMK's intrekken om de CMK's van alle organisaties die zijn verwijderd in te trekken.
  • Klik op ... in de buurt van de CMK die moet worden ingetrokken status van een specifieke organisatie in de tabel en klik op CMK intrekken om CMK voor die specifieke organisatie in te trekken.
12

Wanneer CMK-intrekking is gelukt, wordt de klantorganisatie niet meer in de tabel weergegeven.

13

Als de CMK-intrekking mislukt, wordt een fout weergegeven.

Uw implementatie voor hybride databeveiliging testen

Uw implementatie van hybride databeveiliging testen

Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging met meerdere tenants te testen.

Voordat u begint

  • Stel uw implementatie voor hybride databeveiliging met meerdere tenants in.

  • Zorg ervoor dat u toegang hebt tot het syslog om te controleren of belangrijke verzoeken naar uw implementatie van hybride databeveiliging met meerdere tenants worden doorgegeven.

1

Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de gebruikers van de klantorganisatie en maak vervolgens een ruimte.

Als u de implementatie voor hybride databeveiliging deactiveert, is inhoud in ruimten die gebruikers maken niet meer toegankelijk zodra de kopieën in de cache van de client van de coderingssleutels zijn vervangen.

2

Verzend berichten naar de nieuwe ruimte.

3

Controleer de syslog-uitvoer om te verifiëren of de sleutelverzoeken naar uw implementatie voor hybride databeveiliging gaan.

  1. Als u wilt controleren of een gebruiker eerst een beveiligd kanaal naar de KMS instelt, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

    U vindt een vermelding als het volgende (identifiers shortened for readability):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_SLEUTEL_VERZAMELING, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. Als u wilt controleren of een gebruiker een bestaande sleutel van de KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. Als u wilt controleren of een gebruiker een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
  4. Als u wilt controleren of een gebruiker een nieuw KMS Resource Object (KRO) aanvraagt wanneer een omgeving of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hybride databeveiliging controleren

Een statusindicator in Partnerhub geeft aan of alles in orde is met de implementatie van hybride databeveiliging met meerdere tenants. Als u proactief belt, meldt u zich aan voor e-mailmeldingen. U wordt geïnformeerd wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
1

Selecteer in Partnerhub de optie Services in het menu aan de linkerkant van het scherm.

2

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Instellingen bewerken.

De pagina Instellingen hybride databeveiliging wordt weergegeven.
3

Typ in het gedeelte E-mailmeldingen een of meer door komma's gescheiden e-mailadressen en druk op Enter.

Uw HDS-implementatie beheren

HDS-implementatie beheren

Gebruik de taken die hier worden beschreven om uw implementatie van hybride databeveiliging te beheren.

Planning van clusterupgrade instellen

Software-upgrades voor hybride databeveiliging worden automatisch op clusterniveau uitgevoerd, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens de upgradeplanning voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie het cluster handmatig vóór het geplande tijdstip van de upgrade te upgraden. U kunt een specifiek upgradeschema instellen of het standaardschema gebruiken van 3:00 uur Dagelijks in de Verenigde Staten: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

De upgradeplanning instellen:

1

Meld u aan bij Partner Hub.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices hybride databeveiliging en klik op Instellen

4

Selecteer het cluster op de pagina Resources hybride databeveiliging.

5

Klik op het tabblad Clusterinstellingen .

6

Selecteer op de pagina Clusterinstellingen bij Upgradeplanning de tijd en tijdzone voor de upgradeplanning.

Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen tot de volgende dag door op 24 uur uitstellen te klikken.

De knooppuntconfiguratie wijzigen

Soms moet u de configuratie van uw knooppunt voor hybride databeveiliging wijzigen vanwege een bijvoorbeeld:
  • X.509-certificaten wijzigen vanwege vervaldatum of andere redenen.

    We ondersteunen het wijzigen van de CN-domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om de cluster te registreren.

  • Database-instellingen bijwerken om te wijzigen in een kopie van de PostgreSQL- of Microsoft SQL Server-database.

    We ondersteunen het migreren van gegevens van PostgreSQL naar Microsoft SQL Server niet, of op de omgekeerde manier. Als u wilt schakelen tussen de databaseomgevingen, moet u een nieuwe implementatie van hybride databeveiliging starten.

  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

Bovendien gebruikt Hybride databeveiliging voor beveiligingsdoeleinden wachtwoorden voor serviceaccounts die een levensduur van negen maanden hebben. Nadat de HDS-setuptool deze wachtwoorden heeft gegenereerd, implementeert u deze in uw HDS-knooppunten in het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een melding van het Webex-team om het wachtwoord voor uw machineaccount opnieuw in te stellen. (Het e-mailbericht bevat de tekst: 'Gebruik het machineaccount API om het wachtwoord bij te werken.') Als uw wachtwoord nog niet is verlopen, geeft de tool u twee opties:

  • Zachte reset: de oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO-bestand op de knooppunten stapsgewijs te vervangen.

  • Harde reset: de oude wachtwoorden werken niet direct meer.

Als uw wachtwoorden verlopen zonder opnieuw in te stellen, is dit van invloed op uw HDS-service, waarvoor onmiddellijke harde reset en vervanging van het ISO-bestand op alle knooppunten nodig is.

Gebruik deze procedure om een nieuw ISO-configuratiebestand te genereren en dit toe te passen op uw cluster.

Voordat u begint

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de referenties van een Partnerhub-account met volledige partnerbeheerdersrechten vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container in 1.e opent. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel voor de versleuteling van PostgreSQL of Microsoft SQL Server-database. U hebt de ISO nodig wanneer u configuratiewijzigingen aan aanbrengen, waaronder databasereferenties, certificaatupdates of wijzigingen aan autorisatiebeleid.

1

Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

  1. Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

    In normale omgevingen:

    docker rmi ciscocitg/hds-setup:stabiel

    In FedRAMP-omgevingen:

    docker rmi ciscocitg/hds-setup-fedramp:stabiel

    Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

  2. Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

    docker login -u hdscustomersro
  3. Voer bij de wachtwoordprompt deze hash in:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Download de nieuwste stabiele afbeelding voor uw omgeving:

    In normale omgevingen:

    docker pull ciscocitg/hds-setup:stabiel

    In FedRAMP-omgevingen:

    docker pull ciscocitg/hds-setup-fedramp:stabiel

    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 hebben niet de schermen voor het opnieuw instellen van wachtwoorden.

  5. Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

    • In normale omgevingen zonder proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • In normale omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In normale omgevingen met HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In FedRAMP-omgevingen zonder een proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.

    De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

  7. Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de klant van uw Partnerhub in en klikt u vervolgens op Accepteren om door te gaan.

  8. Importeer het huidige ISO-configuratiebestand.

  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

    Als u de setuptool wilt afsluiten, typt u CTRL+C.

  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

2

Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor hybride databeveiliging en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

  1. Installeer de HDS-host-OVA.

  2. Stel de HDS-VM in.

  3. Koppel het bijgewerkte configuratiebestand.

  4. Registreer het nieuwe knooppunt in Partnerhub.

3

Voor bestaande HDS-knooppunten waar het oudere configuratiebestand op wordt uitgevoerd, moet u het ISO-bestand onder brengen. Voer de volgende procedure uit op elk knooppunt. Werk elk knooppunt bij voordat u het volgende knooppunt uit schakelen:

  1. Schakel de virtuele machine uit.

  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  3. Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

  4. Schakel het selectievakje Verbinding maken na inschakelen in.

  5. Sla uw wijzigingen op en schakel de virtuele machine in.

4

Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

Geblokkeerde externe DNS-omzettingsmodus uitschakelen

Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. Als de DNS-server van het knooppunt geen publieke DNS-namen kan omzetten, wordt het knooppunt automatisch in de geblokkeerde externe DNS-omzettingsmodus geplaatst.

Als uw knooppunten publieke DNS-namen kunnen omzetten via interne DNS-servers, kunt u deze modus uitschakelen door de proxy verbindingstest opnieuw uit te voeren op elk knooppunt.

Voordat u begint

Zorg ervoor dat uw interne DNS-servers publieke DNS-namen kunnen omzetten en dat uw knooppunten met hen kunnen communiceren.
1

Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/setup, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt instelt en klik vervolgens op Aanmelden.

2

Ga naar overzicht (de standaardpagina).

Indien ingeschakeld, wordt de geblokkeerde externe DNS-omzetting ingesteld op Ja.

3

Ga naar de pagina vertrouwde winkel >-proxy .

4

Klik op proxy verbinding controleren.

Als er een bericht wordt weergegeven met de melding dat de externe DNS-omzetting niet is geslaagd, is het knooppunt niet in staat om de DNS-server te bereiken en blijft deze in deze modus. Anders moet de geblokkeerde externe DNS-omzetting worden ingesteld op Nee als u het knooppunt opnieuw hebt opgestart en teruggaat naar de overzichtspagina.

De volgende stappen

Herhaal de proxy verbindingstest op elk knooppunt in uw cluster voor hybride data beveiliging.

Een knooppunt verwijderen

Gebruik deze procedure om een knooppunt voor hybride databeveiliging te verwijderen uit de Webex-cloud. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
1

Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en schakel de virtuele machine uit.

2

Verwijder het knooppunt:

  1. Meld u aan bij Partnerhub en selecteer Services.

  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources hybride databeveiliging weer te geven.

  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

  4. Klik op het knooppunt dat u wilt verwijderen.

  5. Klik op Dit knooppunt afmelden in het deelvenster dat aan de rechterkant wordt weergegeven

  6. U kunt de registratie van het knooppunt ook ongedaan maken door te klikken op … aan de rechterkant van het knooppunt en Dit knooppunt verwijderen te selecteren.

3

Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

Als u de VM niet verwijdert, vergeet dan niet om het ISO-configuratiebestand te ontkoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken voor toegang tot uw beveiligingsgegevens.

Noodherstel met behulp van stand-bydatacenter

De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt om berichten en andere inhoud die is opgeslagen in de Webex-cloud te coderen. Voor elke gebruiker in de organisatie die is toegewezen aan hybride databeveiliging, worden aanvragen voor het maken van nieuwe sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de gemaakte sleutels aan alle gebruikers die bevoegd zijn om deze op te halen, bijvoorbeeld leden van een gespreksruimte.

Omdat het cluster de kritieke functie uitvoert voor het leveren van deze sleutels, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden onderhouden. Verlies van de database voor hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van klantinhoud. Om dergelijk verlies te voorkomen, zijn de volgende praktijken verplicht:

Als de HDS-implementatie in het primaire datacenter niet beschikbaar wordt door een ramp, volgt u deze procedure om handmatig failover naar het stand-bydatacenter te maken.

Voordat u begint

De registratie van alle knooppunten van Partnerhub ongedaan maken, zoals vermeld in Een knooppunt verwijderen. Gebruik het nieuwste ISO-bestand dat is geconfigureerd voor de knooppunten van het cluster dat eerder actief was, om de hieronder vermelde failoverprocedure uit te voeren.
1

Start de HDS-setuptool en volg de stappen die worden vermeld in Een configuratie-ISO voor de HDS-hosts maken.

2

Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

3

Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

4

Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

5

Klik op Instellingen bewerken >CD/DVD-station 1 en selecteer ISO-gegevensopslagbestand.

Zorg ervoor dat Verbonden en Verbinding maken bij inschakelen zijn ingeschakeld, zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

6

Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 15 minuten geen alarmen zijn.

7

Registreer het knooppunt in Partnerhub. Raadpleeg Het eerste knooppunt in het cluster registreren.

8

Herhaal het proces voor elk knooppunt in het stand-bydatacenter.

De volgende stappen

Als het primaire datacenter na failover weer actief wordt, verwijdert u de registratie van de knooppunten van het stand-bydatacenter en herhaalt u het proces van configuratie van de ISO en registratie van de knooppunten van het primaire datacenter, zoals hierboven vermeld.

(Optioneel) ISO ontkoppelen na HDS-configuratie

De standaard HDS-configuratie wordt uitgevoerd met de aangekoppelde ISO. Sommige klanten geven er echter de voorkeur aan dat ISO-bestanden niet continu worden gekoppeld. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

U gebruikt nog steeds de ISO-bestanden om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de setuptool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra alle knooppunten de configuratiewijzigingen hebben opgehaald, kunt u de ISO opnieuw loskoppelen met deze procedure.

Voordat u begint

Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

1

Sluit een van uw HDS-knooppunten af.

2

Selecteer het HDS-knooppunt in het vCenter Server Appliance.

3

Kies Instellingen bewerken > CD/DVD-station en schakel ISO-gegevensopslagbestand uit.

4

Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 20 minuten geen alarmen zijn.

5

Herhaal om de beurt voor elk HDS-knooppunt.

Problemen met hybride databeveiliging oplossen

Waarschuwingen weergeven en problemen oplossen

Een implementatie van Hybride databeveiliging wordt als niet beschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als de cluster zo langzaam werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

  • Er kunnen geen nieuwe ruimten worden gemaakt (kan geen nieuwe sleutels maken)

  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

    • Nieuwe gebruikers die aan een ruimte zijn toegevoegd (kunnen geen sleutels ophalen)

    • Bestaande gebruikers in een ruimte met een nieuwe client (kunnen geen sleutels ophalen)

  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

Het is belangrijk dat u uw cluster voor hybride databeveiliging goed controleert en alle waarschuwingen onmiddellijk adresseert om onderbreking van de service te voorkomen.

Waarschuwingen

Als er een probleem is met de configuratie van hybride databeveiliging, geeft Partnerhub waarschuwingen weer aan de organisatiebeheerder en verzendt u e-mails naar het geconfigureerde e-mailadres. De waarschuwingen behandelen veel algemene scenario's.

Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

Waarschuwen

Actie

Lokale databasetoegang mislukt.

Controleer op databasefouten of problemen met het lokale netwerk.

Verbinding met lokale database mislukt.

Controleer of de databaseserver beschikbaar is en of de juiste referenties van het serviceaccount zijn gebruikt in de knooppuntconfiguratie.

Toegang tot cloudservice mislukt.

Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Vereisten voor externe connectiviteit.

De registratie van cloudservice wordt verlengd.

Registratie bij cloudservices is verbroken. De registratie wordt verlengd.

Registratie van cloudservice verbroken.

Registratie bij cloudservices is beëindigd. Service wordt afgesloten.

Service nog niet geactiveerd.

HDS activeren in Partnerhub.

Het geconfigureerde domein komt niet overeen met het servercertificaat.

Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

De meest waarschijnlijke oorzaak is dat de algemene naam van het certificaat onlangs is gewijzigd en nu anders is dan de algemene naam die tijdens de eerste installatie is gebruikt.

Kan niet verifiëren bij cloudservices.

Controleer op de nauwkeurigheid en mogelijke vervaldatum van de referenties van het serviceaccount.

Openen van lokaal keystore-bestand is mislukt.

Controleer op integriteit en wachtwoordnauwkeurigheid in het lokale keystore-bestand.

Het lokale servercertificaat is ongeldig.

Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

Kan statistieken niet plaatsen.

Controleer de toegang van het lokale netwerk tot externe cloudservices.

De map /media/configdrive/hds bestaat niet.

Controleer de ISO-koppelconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om te koppelen bij opnieuw opstarten en of het met succes wordt gekoppeld.

De tenantorganisatie-instellingen zijn niet voltooid voor de toegevoegde organisaties

Voltooi de installatie door CMK's te maken voor nieuw toegevoegde tenantorganisaties met de HDS-setuptool.

De tenantorganisatie is niet voltooid voor de verwijderde organisaties

Voltooi de installatie door CMK's van tenantorganisaties die zijn verwijderd met de HDS-setuptool in te trekken.

Problemen met hybride databeveiliging oplossen

Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met Hybride databeveiliging.
1

Controleer Partnerhub voor waarschuwingen en los alle items op die u daar vindt. Zie de afbeelding hieronder ter referentie.

2

Controleer de uitvoer van de Syslog-server voor activiteit van de implementatie van hybride databeveiliging. Filter op woorden als 'Waarschuwing' en 'Fout' om problemen op te lossen.

3

Neem contact op met Cisco-ondersteuning.

Overige opmerkingen

Bekende problemen voor hybride databeveiliging

  • Als u uw cluster voor hybride databeveiliging afsluit (door deze te verwijderen in Partner Hub of door alle knooppunten te sluiten), uw ISO-configuratiebestand te verliezen of de toegang tot de keystore-database te verliezen, kunnen gebruikers van de Webex-app van klantorganisaties niet langer ruimten gebruiken onder hun lijst Personen die zijn gemaakt met sleutels van uw KMS. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en we verzoeken u dringend uw HDS-services niet te beëindigen zodra deze actieve gebruikersaccounts afhandelen.

  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een bepaalde tijd (waarschijnlijk één uur).

OpenSSL gebruiken om een PKCS12-bestand te genereren

Voordat u begint

  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS-setuptool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten de ene weg niet boven de andere.

  • Als u ervoor kiest OpenSSL te gebruiken, bieden we deze procedure als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

  • Maak een privésleutel.

  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificerende instantie (CA).

1

Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

2

Geef het certificaat weer als tekst en verifieer de details.

openssl x509 -text -noout -in hdsnode.pem

3

Gebruik een tekstverwerker om een certificaatbundelbestand met de naam hdsnode-bundle.pem te maken. Het bundelbestand moet het servercertificaat, eventuele tussenliggende CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

----BEGIN CERTIFICATE------ ### Servercertificaat. ### -----END CERTIFICATE----------BEGIN CERTIFICATE----- ### Tussenliggend CA-certificaat. ### ----END CERTIFICATE----------BEGIN CERTIFICATE----- ### Basis CA-certificaat. ### -----END CERTIFICATE-----

4

Maak het .p12-bestand met de beschrijvende naam kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -naam kms-private-key -caname kms-private-key -out hdsnode.p12

5

Controleer de details van het servercertificaat.

  1. openssl pkcs12 -in hdsnode.p12

  2. Voer bij de prompt een wachtwoord in om de privésleutel te coderen zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de regels bevatten friendlyName: kms-privésleutel.

    Voorbeeld:

    bash$ openssl pkcs12 -in hdsnode.p12 Voer importwachtwoord in: Mac heeft OK Bag Attributes geverifieerd friendlyName: kms-privésleutel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Sleutelkenmerken:  Voer de PEM-wachtwoordzin in: Verifiëren - Voer de PEM-wachtwoordzin in: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-privésleutel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

De volgende stappen

Keer terug naar Aan de vereisten voor hybride databeveiliging voldoen. U gebruikt het bestand hdsnode.p12 en het wachtwoord dat u ervoor hebt ingesteld in Een configuratie-ISO voor de HDS-hosts maken.

U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

Verkeer tussen de HDS-knooppunten en de cloud

Verzamelverkeer uitgaande statistieken

De knooppunten voor hybride databeveiliging verzenden bepaalde statistieken naar de Webex-cloud. Hieronder vallen systeemstatistieken voor max. heap, gebruikte heap, CPU-belasting en threadtelling; statistieken op synchrone en asynchrone threads; statistieken over waarschuwingen met een drempel voor coderingsverbindingen, latentie of een aanvraagwachtrijlengte; statistieken in de gegevensopslag; en statistieken voor coderingsverbinding. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (afzonderlijk van het verzoek) kanaal.

Inkomend verkeer

De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer van de Webex-cloud:

  • Coderingsverzoeken van clients, die door de coderingsservice worden gerouteerd

  • Upgrades van de knooppuntsoftware

Het configureren van inktvis-Proxy's voor hybride data beveiliging

WebSocket kan geen verbinding maken via de inktvis-proxy

Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:) verstoren die vereist zijn voor hybride databeveiliging. Deze secties bevatten leidraden voor het configureren van verschillende versies van inktvis om WSS te negeren: verkeer voor de juiste werking van de services.

Pijlinktvis 4 en 5

Voeg de on_unsupported_protocol richtlijn toe aan squid.conf:

on_unsupported_protocol alles tunnel

Inktvis 3.5.27

De hybride gegevensbeveiliging is getest met de volgende regels die zijn toegevoegd aan inktvis. conf. Deze regels kunnen worden gewijzigd wanneer we functies ontwikkelen en de Webex Cloud bijwerken.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl stap1 at_step SslBump1 acl stap2 at_step SslBump2 acl stap3 at_step SslBump3 ssl_bump bekijk stap1 alle ssl_bump staren stap2 alle ssl_bump bump stap3 alle

Nieuwe en gewijzigde informatie

Nieuwe en gewijzigde informatie

Deze tabel bevat nieuwe functies of functionaliteiten, wijzigingen in bestaande inhoud en belangrijke fouten die zijn opgelost in de Implementatiehandleiding voor hybride databeveiliging met meerdere tenants.

Datum

Wijzigingen aangebracht

8 januari 2025

Er is een opmerking toegevoegd in Eerste installatie uitvoeren en installatiebestanden downloaden waarin staat dat het klikken op Instellen op de HDS-kaart in Partner Hub een belangrijke stap is in het installatieproces.

7 januari 2025

Bijgewerkte vereisten voor virtuele host, taakstroom voor implementatie van hybride databeveiliging en installeer de HDS-host-OVA om de nieuwe ESXi 7.0-vereiste weer te geven.

13 december 2024

Eerst gepubliceerd.

Hybride databeveiliging met meerdere tenants deactiveren

Taakstroom voor deactivering van HDS met meerdere tenants

Volg deze stappen om HDS met meerdere tenants volledig te deactiveren.

Voordat u begint

Deze taak mag alleen worden uitgevoerd door een volledige partnerbeheerder.
1

Verwijder alle klanten uit al uw clusters, zoals vermeld in Tenantorganisaties verwijderen.

2

Trek de CMK's van alle klanten in, zoals vermeld in CMK's van tenants die zijn verwijderd uit HDS intrekken..

3

Verwijder alle knooppunten uit al uw clusters, zoals vermeld in Een knooppunt verwijderen.

4

Verwijder al uw clusters uit Partnerhub met een van de volgende twee methoden.

  • Klik op het cluster dat u wilt verwijderen en selecteer Dit cluster verwijderen in de rechterbovenhoek van de overzichtspagina.
  • Klik op de pagina Resources op ... aan de rechterkant van een cluster en selecteer Cluster verwijderen.
5

Klik op het tabblad Instellingen op de overzichtspagina Hybride databeveiliging en klik op HDS deactiveren op de HDS-statuskaart.

Aan de slag met hybride databeveiliging voor meerdere tenants

Overzicht van hybride databeveiliging met meerdere tenants

Vanaf dag één is gegevensbeveiliging de primaire focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end-inhoudscodering, ingeschakeld door clients van de Webex-app die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografiesleutels die clients gebruiken om berichten en bestanden dynamisch te coderen en te decoderen.

Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride databeveiliging verplaatst de KMS en andere beveiligingsgerelateerde functies naar uw bedrijfsdatacenter, dus niemand maar u beschikt over de sleutels voor uw gecodeerde inhoud.

Met Hybride databeveiliging voor meerdere tenants kunnen organisaties HDS gebruiken via een vertrouwde lokale partner, die kan optreden als serviceprovider en codering en andere beveiligingsservices op locatie kan beheren. Met deze instelling kan de partnerorganisatie volledige controle hebben over de implementatie en het beheer van coderingssleutels en zorgen ervoor dat gebruikersgegevens van klantorganisaties veilig zijn tegen externe toegang. Partnerorganisaties stellen HDS-instanties in en maken indien nodig HDS-clusters. Elk exemplaar kan meerdere klantorganisaties ondersteunen, in tegenstelling tot een reguliere HDS-implementatie die beperkt is tot één organisatie.

Hoewel partnerorganisaties de implementatie en het beheer onder controle hebben, hebben ze geen toegang tot gegevens en inhoud die door klanten zijn gegenereerd. Deze toegang is beperkt tot klantorganisaties en hun gebruikers.

Hierdoor kunnen kleinere organisaties ook HDS gebruiken, omdat sleutelbeheerservice en beveiligingsinfrastructuur zoals datacenters eigendom zijn van de vertrouwde lokale partner.

Hoe hybride databeveiliging met meerdere tenants gegevenssoevereiniteit en gegevenscontrole biedt

  • Door gebruikers gegenereerde inhoud wordt beschermd tegen externe toegang, zoals cloudserviceproviders.
  • Lokale vertrouwde partners beheren de coderingssleutels van klanten met wie ze al een bestaande relatie hebben.
  • Optie voor lokale technische ondersteuning, indien verstrekt door de partner.
  • Ondersteunt inhoud voor vergaderingen, berichten en gesprekken.

Dit document is bedoeld om partnerorganisaties te helpen bij het instellen en beheren van klanten onder een systeem voor hybride databeveiliging met meerdere tenants.

Rollen in hybride databeveiliging met meerdere tenants

  • Volledige partnerbeheerder : kan instellingen beheren voor alle klanten die de partner beheert. Kan ook beheerdersrollen toewijzen aan bestaande gebruikers in de organisatie en specifieke klanten toewijzen die moeten worden beheerd door partnerbeheerders.
  • Partnerbeheerder : kan instellingen beheren voor klanten die door de beheerder zijn ingericht of die aan de gebruiker zijn toegewezen.
  • Volledige beheerder - Beheerder van de partnerorganisatie die bevoegd is om taken uit te voeren zoals het wijzigen van organisatie-instellingen, het beheren van licenties en het toewijzen van rollen.
  • End-to-end installatie en beheer van alle klantorganisaties met meerdere tenants : volledige partnerbeheerder en volledige beheerdersrechten vereist.
  • Beheer van toegewezen tenantorganisaties : partnerbeheerders en volledige beheerdersrechten vereist.

Architectuur beveiligingsrealm

De Webex-cloudarchitectuur scheidt verschillende typen services in verschillende realms of vertrouwensdomeinen, zoals hieronder afgebeeld.

Gescheiden ruimten (zonder hybride databeveiliging)

Laten we voor meer informatie over hybride databeveiliging eerst naar deze pure cloudcase kijken, waarbij Cisco alle functies in zijn clouddomeinen biedt. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks gecorreleerd kunnen worden met hun persoonlijke informatie, zoals hun e-mailadres, staat logischerwijs en fysiek los van de beveiligingsruimte in datacenter B. Beide staan op hun beurt los van de ruimte waar gecodeerde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

In dit diagram is de client de Webex-app die op de laptop van een gebruiker wordt uitgevoerd en is de identiteitsservice geverifieerd. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

  1. De client brengt een beveiligde verbinding tot stand met de sleutelbeheerservice (KMS) en vraagt vervolgens een sleutel aan om het bericht te coderen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

  2. Het bericht wordt gecodeerd voordat het de client verlaat. De client verzendt deze naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

  3. Het gecodeerde bericht wordt naar de nalevingsservice verzonden voor nalevingscontroles.

  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

Wanneer u hybride databeveiliging implementeert, verplaatst u de functies van de beveiligingsregio (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de rijken van Cisco.

Samenwerken met andere organisaties

Gebruikers in uw organisatie kunnen regelmatig de Webex-app gebruiken om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, leidt uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS op te halen. Vervolgens stuurt u de sleutel terug naar uw gebruiker op het oorspronkelijke kanaal.

De KMS-service die op Organisatie A wordt uitgevoerd, valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat dat u wilt gebruiken met uw implementatie van hybride databeveiliging met meerdere tenants.

Verwachtingen voor het implementeren van hybride databeveiliging

Een implementatie van Hybride databeveiliging vereist aanzienlijke inzet en een besef van de risico's die verbonden zijn aan het bezitten van coderingssleutels.

Voor het implementeren van hybride databeveiliging moet u het volgende opgeven:

Volledig verlies van de configuratie-ISO die u voor hybride databeveiliging maakt of de database die u opgeeft, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers ruimte-inhoud en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar is alleen nieuwe inhoud zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

  • Beheer de back-up en het herstel van de database en de configuratie-ISO.

  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing van de databaseselectie of een ramp in een datacenter.

Er is geen mechanisme om sleutels terug naar de cloud te verplaatsen na een HDS-implementatie.

Installatieproces op hoog niveau

In dit document worden de installatie en het beheer van een implementatie van hybride databeveiliging met meerdere tenants behandeld:

  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het bouwen van een HDS-cluster, het toevoegen van tenantorganisaties aan de cluster en het beheren van hun Customer Main Keys (CMK's). Hiermee kunnen alle gebruikers van uw klantorganisaties uw cluster voor hybride databeveiliging gebruiken voor beveiligingsfuncties.

    De installatie-, activerings- en beheerfasen worden in detail behandeld in de volgende drie hoofdstukken.

  • Uw implementatie van hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch doorlopende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig contact opnemen met Cisco-ondersteuning. U kunt meldingen op het scherm gebruiken en waarschuwingen op basis van e-mail instellen in Partner Hub.

  • Algemene waarschuwingen, stappen voor het oplossen van problemen en bekende problemen begrijpen: als u problemen ondervindt met het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen bij het bepalen en oplossen van het probleem.

Implementatiemodel voor hybride databeveiliging

In uw bedrijfsdatacenter implementeert u hybride databeveiliging als een enkele cluster knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

Tijdens het installatieproces voorzien we u van het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt koppelt. Het cluster voor hybride databeveiliging gebruikt uw opgegeven Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de Syslogd- en databaseverbindingsgegevens in de HDS-setuptool.)

Implementatiemodel voor hybride databeveiliging

Het minimum aantal knooppunten dat u in een cluster kunt hebben, is twee. We raden ten minste drie per cluster aan. Het hebben van meerdere knooppunten zorgt ervoor dat de service niet wordt onderbroken tijdens een software-upgrade of andere onderhoudsactiviteiten op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

Alle knooppunten in een cluster hebben toegang tot dezelfde belangrijke gegevensopslag en logboekactiviteit tot dezelfde syslog-server. De knooppunten zelf zijn staatloos en handelen sleutelverzoeken af op ronde-robin-manier, zoals aangegeven door de cloud.

Knooppunten worden actief wanneer u ze registreert in Partner Hub. Als u een afzonderlijk knooppunt uit dienst wilt nemen, kunt u de registratie ongedaan maken en later indien nodig opnieuw registreren.

Stand-by-datacenter voor noodherstel

Tijdens de implementatie stelt u een beveiligd stand-by datacenter in. In het geval van een datacenterramp kunt u de implementatie handmatig naar het stand-bydatacenter mislukken.

Vóór de failover heeft Datacenter A actieve HDS-knooppunten en de primaire PostgreSQL- of Microsoft SQL-serverdatabase, terwijl B een kopie heeft van het ISO-bestand met aanvullende configuraties, VM's die bij de organisatie zijn geregistreerd en een stand-bydatabase. Na failover heeft datacenter B actieve HDS-knooppunten en de primaire database, terwijl A niet-geregistreerde VM's en een kopie van het ISO-bestand heeft en de database in de stand-bymodus staat.
Handmatig failover naar stand-bydatacenter

De databases van de actieve en stand-bydatacenters zijn gesynchroniseerd met elkaar, waardoor de tijd die nodig is om de failover uit te voeren, wordt geminimaliseerd.

De actieve knooppunten voor hybride databeveiliging moeten zich altijd in hetzelfde datacenter bevinden als de actieve databaseserver.

Proxy ondersteuning

Hybride gegevensbeveiliging biedt ondersteuning voor expliciete, transparante inspectie en het niet-geïnspecteerde proxy's. U kunt deze proxy's koppelen aan uw implementatie zodat u verkeer van de onderneming kunt beveiligen en controleren naar de Cloud. U kunt een platformbeheer interface gebruiken op de knooppunten voor certificaatbeheer en de algehele verbindingsstatus controleren nadat u de proxy op de knooppunten hebt ingesteld.

De knooppunten voor hybride data beveiliging ondersteunen de volgende proxy opties:

  • Geen proxy: de standaard als u het HDS-knooppunt niet gebruikt, stelt u de vertrouwensarchief- en proxyconfiguratie in om een proxy te integreren. Er is geen certificaat update vereist.

  • Transparante proxy zonder inspectie: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres en hoeven geen wijzigingen te vereisen om te werken met een proxy zonder inspectie. Er is geen certificaat update vereist.

  • Transparent tunneling of inspecting proxy: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres. Er zijn geen HTTP-of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).

  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welke proxyserver en verificatieschema moeten worden gebruikt. Als u een expliciete proxy wilt configureren, moet u op elk knooppunt de volgende informatie invoeren:

    1. Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.

    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.

    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

      • HTTP: alle aanvragen die de client verzendt, worden weergegeven en beheerd.

      • HTTPS: geeft een kanaal aan de server. De client ontvangt en valideert het certificaat van de server.

    4. Verificatietype: kies uit de volgende verificatietypen:

      • Geen: geen verdere verificatie is vereist.

        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.

        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

        Alleen beschikbaar als u HTTPS als proxy protocol selecteert.

        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

Voorbeeld van knooppunten en proxy voor hybride data beveiliging

Dit diagram toont een voorbeeld van een verbinding tussen de hybride gegevensbeveiliging, het netwerk en een proxy. Voor de instellingen voor transparant inspecteren en HTTPS expliciet controleren, moeten dezelfde hoofdcertificaat op de proxy en op de knooppunten voor hybride data beveiliging worden geïnstalleerd.

Geblokkeerde externe DNS-omzettingsmodus (expliciete proxy configuraties)

Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. In implementaties met expliciete proxyconfiguraties die geen externe DNS-omzetting voor interne clients toestaan, als het knooppunt de DNS-servers niet kan opvragen, wordt de geblokkeerde externe DNS-omzettingsmodus automatisch ingeschakeld. In deze modus kan de registratie van knooppunten en andere proxy connectiviteitstests worden voortgezet.

Uw omgeving voorbereiden

Vereisten voor hybride databeveiliging met meerdere tenants

Cisco Webex-licentievereisten

Hybride databeveiliging met meerdere tenants implementeren:

  • Partnerorganisaties: Neem contact op met uw Cisco-partner of accountmanager en zorg ervoor dat de functie voor meerdere tenants is ingeschakeld.

  • Tenantorganisaties: U moet het Pro-pakket voor Cisco Webex Control Hub hebben. (Zie https://www.cisco.com/go/pro-pack.)

X.509-certificaatvereisten

De certificaatketen moet aan de volgende vereisten voldoen:

Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

Vereiste

Details

  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

Standaard vertrouwen we de CA's in de lijst met Mozilla (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

  • Draagt een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

  • Is geen wildcardcertificaat

De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die overeenkomt met uw organisatie, bijvoorbeeld hds.bedrijf.com.

De algemene naam mag geen * (jokerteken) bevatten.

De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren naar Webex-app-clients. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

Wanneer u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam.

  • Niet-SHA1-handtekening

De KMS-software biedt geen ondersteuning voor SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

  • Opgemaakt als een met een wachtwoord beveiligd PKCS #12-bestand

  • Gebruik de beschrijvende naam kms-private-key om het certificaat, de privésleutel en eventuele aanvullende certificaten te taggen om te uploaden.

U kunt een conversieprogramma zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

U moet het wachtwoord invoeren wanneer u de HDS-setuptool uitvoert.

De KMS-software dwingt geen beperkingen op het sleutelgebruik of het uitgebreide sleutelgebruik af. Sommige certificeringsinstanties vereisen dat uitgebreide gebruiksbeperkingen voor elk certificaat worden toegepast, zoals serververificatie. Het is oké om de serververificatie of andere instellingen te gebruiken.

Vereisten voor virtuele host

De virtuele hosts die u als knooppunten voor hybride databeveiliging in uw cluster instelt, hebben de volgende vereisten:

  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich samen in hetzelfde beveiligde datacenter bevinden

  • VMware ESXi 7.0 (of hoger) is geïnstalleerd en wordt uitgevoerd.

    Als u een eerdere versie van ESXi hebt, moet u upgraden.

  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

Vereisten voor databaseserver

Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. De HDS-toepassingen maken na installatie het databaseschema.

Er zijn twee opties voor databaseserver. De vereisten voor elk ervan zijn als volgt:

Tabel 2. Vereisten voor databaseserver per type database

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

  • SQL Server 2016, 2017 of 2019 (Enterprise of Standaard) geïnstalleerd.

    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten)

Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten)

De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

PostgreSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

SQL Server JDBC-stuurprogramma 4.6

Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover-clusterinstanties en Always On-beschikbaarheidsgroepen).

Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

  • De HDS-knooppunten, de Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees- en schrijftoegang hebben tot de database.

  • De DNS-servers die u aan HDS-knooppunten verstrekt, moeten uw Key Distribution Center (KDC) kunnen oplossen.

  • U kunt het exemplaar van de HDS-database op uw Microsoft SQL-server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een hoofdnaam voor de service registreren voor Kerberos-verbindingen.

    De HDS-setuptool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de details uit uw ISO-configuratie om de SPN te maken wanneer ze toegang aanvragen met Kerberos-verificatie.

Vereisten voor externe connectiviteit

Configureer uw firewall om de volgende connectiviteit voor de HDS-toepassingen toe te staan:

Toepassing

Protocol

Poort

Richting vanuit app

Bestemming

Knooppunten voor hybride databeveiliging

TCP

443

Uitgaande HTTPS en WSS

  • Webex-servers:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-hosts

  • Andere URL's die voor hybride databeveiliging worden vermeld in de tabel Aanvullende URL's voor hybride Webex-services met Netwerkvereisten voor Webex-services

HDS-setuptool

TCP

443

Uitgaande HTTPS

  • *.wbx2.com

  • Alle Common Identity-hosts

  • hub.docker.com

De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de vorige tabel toestaat. Voor verbindingen die inkomend naar de knooppunten voor hybride databeveiliging gaan, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22 voor administratieve doeleinden.

De URL's voor de Common Identity-hosts (CI) zijn regiospecifiek. Dit zijn de huidige CI-hosts:

Regio

URL's van host van algemene identiteit

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europese Unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Verenigde Arabische Emiraten
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vereisten voor de proxy server

  • We ondersteunen de volgende proxy oplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride data beveiliging.

    • Transparante proxy: Cisco Web Security Appliance (WSA).

    • Expliciete proxy-pijlinktvis.

      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:) verstoren. Zie Squid-proxy's configureren voor hybride databeveiliging om dit probleem te omzeilen.

  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

    • Geen verificatie met HTTP of HTTPS

    • Basisverificatie met HTTP of HTTPS

    • Alleen verificatiesamenvatting met HTTPS

  • Voor een transparante inspectie proxy of een HTTPS-expliciete proxy moet u een kopie van de hoofdcertificaat van de proxy hebben. De implementatie-instructies in deze handleiding geven aan hoe u de kopie kunt uploaden naar de vertrouwens archieven van de hybride Data Security-knooppunten.

  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 af te ronden via de proxy.

  • Proxy's die het webverkeer controleren, kunnen de WebSocket-verbindingen belemmeren. Als dit probleem zich voordoet, kunt u het probleem oplossen door het verkeer niet te controleren op wbx2.com en ciscospark.com .

Voldoen aan de vereisten voor hybride databeveiliging

Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
1

Zorg ervoor dat uw partnerorganisatie de functie Multi-tenant HDS heeft ingeschakeld en haal de referenties op van een account met volledige partnerbeheerder en volledige beheerdersrechten. Zorg ervoor dat uw Webex-klantorganisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

Klantorganisaties mogen geen bestaande HDS-implementatie hebben.

2

Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

3

Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt minimaal twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter staan en die voldoen aan de vereisten in Vereisten voor virtuele hosts.

4

Bereid de databaseserver voor die fungeert als de belangrijkste gegevensopslag voor het cluster, volgens de Vereisten van de databaseserver. De databaseserver moet in het beveiligde datacenter samen met de virtuele hosts worden geplaatst.

  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik niet de standaarddatabase. De HDS-toepassingen maken na installatie het databaseschema.)

  2. Verzamel de details die de knooppunten gebruiken om te communiceren met de databaseserver:

    • de hostnaam of het IP-adres (host) en de poort

    • de naam van de database (dbname) voor sleutelopslag

    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de sleutelopslagdatabase

5

Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft waarop HDS-knooppunten worden uitgevoerd, moet de back-upomgeving 3 VM's hebben.

6

Stel een syslog-host in om logboeken van de knooppunten in het cluster te verzamelen. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

7

Maak een beveiligd back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.

Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die voor het coderen en decoderen van inhoud worden gebruikt, zal het niet onderhouden van een operationele implementatie leiden tot ONHERSTELBAAR VERLIES van die inhoud.

Webex-app-clients slaan hun sleutels in het cachegeheugen, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen onmogelijk te voorkomen zijn, zijn ze herstelbaar. Een volledig verlies (er zijn geen back-ups beschikbaar) van de database of het ISO-configuratiebestand zal echter resulteren in onherstelbare klantgegevens. Van de operatoren van de knooppunten voor hybride databeveiliging wordt verwacht dat ze frequente back-ups van de database en het ISO-configuratiebestand bijhouden en dat ze voorbereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als zich een catastrofale storing voordoet.

8

Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw knooppunten voor hybride databeveiliging mogelijk maakt, zoals beschreven in Vereisten voor externe connectiviteit.

9

Installeer Docker ( https://www.docker.com) op een lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft op http://127.0.0.1:8080.

U gebruikt de Docker-instantie om de HDS Setup Tool te downloaden en uit te voeren, waarmee de lokale configuratiegegevens voor alle knooppunten voor hybride databeveiliging worden opgebouwd. Mogelijk hebt u een Docker Desktop-licentie nodig. Zie Vereisten voor Docker-desktops voor meer informatie.

Als u de HDS-setuptool wilt installeren en uitvoeren, moet de lokale machine de verbinding hebben die wordt beschreven in Vereisten voor externe connectiviteit.

10

Als u een proxy integreert met hybride databeveiliging, moet u controleren of deze voldoet aan de vereisten voor de proxyserver.

Een cluster voor hybride databeveiliging instellen

Taakstroom implementatie hybride databeveiliging

Voordat u begint

1

Voer de eerste installatie uit en download installatiebestanden

Download het OVA-bestand naar uw lokale machine voor later gebruik.

2

Een configuratie-ISO voor de HDS-hosts maken

Gebruik de HDS-setuptool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

3

De HDS-host-OVA installeren

Maak een virtuele machine met het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.

De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 7.0. Deze optie is mogelijk niet beschikbaar in eerdere versies.

4

VM voor hybride databeveiliging instellen

Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

5

De HDS-configuratie-ISO uploaden en koppelen

Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-setuptool.

6

Configureer het HDS-knooppunt voor proxy-integratie

Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u het proxycertificaat indien nodig toe aan de vertrouwensopslag.

7

Het eerste knooppunt in het cluster registreren

Registreer de VM bij de Cisco Webex-cloud als knooppunt voor hybride databeveiliging.

8

Meer knooppunten maken en registreren

Voltooi de clustersetup.

9

Activeer HDS met meerdere tenants in Partner Hub.

Activeer HDS en beheer tenantorganisaties in Partner Hub.

Voer de eerste installatie uit en download installatiebestanden

In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). U kunt dit bestand later in het installatieproces gebruiken.

1

Meld u aan bij Partnerhub en klik vervolgens op Services.

2

Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik vervolgens op Instellen.

Het is essentieel voor het implementatieproces te klikken op Instellen in Partnerhub. Ga niet verder met de installatie zonder deze stap te voltooien.

3

Klik op Een resource toevoegen en klik op OVA-bestand downloaden op de kaart Software installeren en configureren .

Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de meest recente versie van het OVA-bestand downloadt.

U kunt de OVA ook op elk moment downloaden via het gedeelte Help . Klik op Instellingen > Help > Software voor hybride databeveiliging downloaden.

Het downloaden van het OVA-bestand wordt automatisch gestart. Sla het bestand op een locatie op uw computer op.
4

U kunt ook op Implementatiegids voor hybride databeveiliging bekijken klikken om te controleren of er een nieuwere versie van deze handleiding beschikbaar is.

Een configuratie-ISO voor de HDS-hosts maken

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

Voordat u begint

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Op de pagina ISO-import hebt u de volgende opties:

  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de blader en uploadt u het.
10

Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

  • Als u nog nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
  • Als uw certificaat OK is, klikt u op Doorgaan.
  • Als uw certificaat is verlopen of u het wilt vervangen, selecteert u Nee voor Doorgaan met het gebruik van de HDS-certificaatketen en privésleutel van vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
11

Voer het databaseadres en het account in voor HDS om toegang te krijgen tot uw belangrijke gegevensopslag:

  1. Selecteer uw databasetype (PostgreSQL of Microsoft SQL Server).

    Als u Microsoft SQL Server kiest, wordt het veld Verificatietype weergegeven.

  2. (Alleen Microsoft SQL-server ) Selecteer uw verificatietype:

    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam .

    • Windows-verificatie: U hebt een Windows-account nodig met de indeling gebruikersnaam@DOMEIN in het veld Gebruikersnaam .

  3. Voer het adres van de databaseserver in de vorm : of : in.

    Voorbeeld:
    dbhost.example.org:1433 of 198.51.100.17:1433

    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

  4. Voer de Databasenaam in.

  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten op de sleutelopslagdatabase.

12

Selecteer een TLS-databaseverbindingsmodus:

Mode

Beschrijving

Voorkeur geven aan TLS (standaardoptie)

HDS-knooppunten vereisen geen TLS om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

TLS verplichten

HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

TLS verplichten en certificaat ondertekenaar verifiëren

Deze modus is niet van toepassing op SQL Server-databases.

  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het Basiscertificaat van de database. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

TLS verplichten en certificaat ondertekenaar en hostnaam verifiëren

  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het Basiscertificaat van de database. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databashost en poort . De namen moeten exact overeenkomen, of de verbinding wordt door het knooppunt ingspunt laten merken.

Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-setuptool de TLS-verbinding met de databaseserver. De tool controleert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, wordt er een foutmelding weergegeven waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de machine van de HDS-setuptool deze niet kan testen.)

13

Configureer uw Syslogd-server op de pagina Systeemlogboeken:

  1. Voer de URL van de syslog-server in.

    Als de server niet door het DNS kan worden omgezet vanaf de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

    Voorbeeld:
    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij de Syslogd-host 10.92.43.23 op UDP-poort 514.
  2. Als u uw server zo instelt dat deze TLS-codering gebruikt, schakelt u het selectievakje Is uw syslog-server geconfigureerd voor SSL-codering? in.

    Als u dit selectievakje inschakelt, moet u een TCP-URL zoals tcp://10.92.43.23:514 invoeren.

  3. Kies in de vervolgkeuzelijst Syslog-record beëindigen kiezen de juiste instelling voor uw ISO-bestand: Kiezen of nieuwe lijn wordt gebruikt voor Graylog en Rsyslog TCP

    • Null byte -- \x00

    • Regeleinde -- \n: selecteer deze keuze voor Graylog en Rsyslog TCP.

  4. Klik op Doorgaan.

14

(Optioneel) U kunt de standaardwaarde voor sommige parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u mogelijk wilt wijzigen:

app_datasource_connection_pool_maxGrootte: 10
15

Klik op Doorgaan in het scherm Wachtwoord voor serviceaccounts herstellen .

Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u ze wilt herstellen om eerdere ISO-bestanden ongeldig te maken.

16

Klik op ISO-bestand downloaden. Sla het bestand op een eenvoudig te vinden locatie op.

17

Maak een back-up van het ISO-bestand op uw lokale systeem.

Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

18

Als u de setuptool wilt afsluiten, typt u CTRL+C.

De volgende stappen

Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten te maken voor herstel of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het is niet mogelijk om de sleutels te herstellen van uw PostgreSQL- of Microsoft SQL Server-database.

We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze verliest.

De HDS-host-OVA installeren

Gebruik deze procedure om een virtuele machine te maken van het OVA-bestand.
1

Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

2

Selecteer Bestand > OVF-sjabloon implementeren.

3

Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

4

Op de pagina Een naam en map selecteren voert u een naam van de virtuele machine in voor het knooppunt (bijvoorbeeld 'HDS_Node_1'), kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u op Volgende.

5

Kies op de pagina Een rekenresource selecteren de bestemming van de rekenresource en klik vervolgens op Volgende.

Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloongegevens weergegeven.

6

Controleer de sjabloongegevens en klik vervolgens op Volgende.

7

Als u wordt gevraagd de resourceneconfiguratie op de pagina Configuratie te kiezen, klikt u op 4 CPU en vervolgens op Volgende.

8

Klik op de pagina Opslag selecteren op Volgende om het standaard schijfindeling en het VM-opslagbeleid te accepteren.

9

Op de pagina Netwerken selecteren kiest u de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

10

Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen :

  • Hostnaam: voer de FQDN (hostnaam en domein) of een enkele woord hostnaam voor het knooppunt in.
    • U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

    • Gebruik alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld om een succesvolle registratie bij de cloud te garanderen. Hoofdletters worden momenteel niet ondersteund.

    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

  • IP-adres: voer het IP-adres in voor de interne interface van het knooppunt.

    Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

  • Masker: voer het adres van het subnetmasker in puntdecimale notatie in. Bijvoorbeeld 255.255.255.0.
  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat dienst doet als een toegangspunt naar een ander netwerk.
  • DNS-servers: voer een door komma's gescheiden lijst in met DNS-servers die domeinnamen naar numerieke IP-adressen vertalen. (Er zijn maximaal 4 DNS-vermeldingen toegestaan.)
  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die voor uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster voor administratieve doeleinden bereikbaar zijn vanaf clients in uw netwerk.

Indien gewenst kunt u de configuratie van de netwerkinstelling overslaan en de stappen volgen in De VM voor hybride databeveiliging instellen om de instellingen te configureren vanuit de knooppuntconsole.

De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 7.0. Deze optie is mogelijk niet beschikbaar in eerdere versies.

11

Klik met de rechtermuisknop op het knooppunt VM en kies Aan/uit > Inschakelen.

De software voor hybride databeveiliging wordt als gast geïnstalleerd op de VM-host. U bent nu klaar om u aan te melden bij de console en het knooppunt te configureren.

Tips voor probleemoplossing

U kunt een vertraging van enkele minuten ervaren voordat de knooppuntcontainers omhoog komen. Tijdens de eerste keer opstarten verschijnt een bridge-firewallbericht op de console, waarbij u zich niet kunt aanmelden.

VM voor hybride databeveiliging instellen

Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en om de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

1

Selecteer in de VMware vSphere-client de VM van uw knooppunt voor hybride databeveiliging en het tabblad Console .

De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldingsprompt niet wordt weergegeven, drukt u op Enter.
2

Gebruik de volgende standaardaanmeldgegevens en -wachtwoorden om u aan te melden en de aanmeldgegevens te wijzigen:

  1. Aanmelden: beheer

  2. Wachtwoord: Cisco

Aangezien u zich voor de eerste keer bij uw VM aanmeldt, moet u het beheerderswachtwoord wijzigen.

3

Als u de netwerkinstellingen al hebt geconfigureerd in De HDS-host-OVA installeren, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken .

4

Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

5

(Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om overeen te stemmen met uw netwerkbeleid.

U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

6

Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen worden doorgevoerd.

De HDS-configuratie-ISO uploaden en koppelen

Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-setuptool.

Voordat u begint

Omdat het ISO-bestand de hoofdsleutel bevat, mag deze alleen worden weergegeven op een 'need to know'-basis, voor toegang door de VM's van hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen deze beheerders toegang hebben tot de gegevensopslag.

1

Upload het ISO-bestand vanaf uw computer:

  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

  2. Klik op de lijst Hardware van het tabblad Configuratie op Opslag.

  3. Klik in de lijst Gegevensopslag met de rechtermuisknop op de gegevensopslag voor uw VM's en klik op Gegevensopslag bladeren.

  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

  6. Klik op Ja om de waarschuwing voor het uploaden/downloaden te accepteren en sluit het dialoogvenster Gegevensopslag.

2

Koppel het ISO-bestand:

  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  2. Klik op OK om de waarschuwing met beperkte bewerkingsopties te accepteren.

  3. Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanuit een ISO-bestand van de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

  4. Schakel Verbonden en Verbinding maken na inschakelen in.

  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

De volgende stappen

Als uw IT-beleid dat vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (optioneel) ISO ontkoppelen na HDS-configuratie voor meer informatie.

Configureer het HDS-knooppunt voor proxy-integratie

Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride gegevensbeveiliging. Als u een transparante inspectering proxy of een HTTPS-expliciete proxy kiest, kunt u de interface van het knooppunt gebruiken om de hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding vanuit de interface controleren en mogelijke problemen oplossen.

Voordat u begint

1

Voer de installatie-URL van het HDS-knooppunt https://[HDS node IP of FQDN]/Setup in een webbrowser in, voer de beheerders gegevens in die u hebt ingesteld voor het knooppunt en klik vervolgens op aanmelden.

2

Ga naar vertrouwens archieven voor vertrouwde proxyen kies een optie:

  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaat update vereist.
  • Transparent Non-Inspecting Proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaat update vereist.
  • Proxy transparant inspecteren: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen wijzigingen in de HTTPS-configuratie nodig voor de implementatie van hybride data beveiliging, de HDS-knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).
  • Expliciete proxy: met expliciete proxy vertelt u de client (HDS-knooppunten) welke proxyserver moet worden gebruikt en deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
    1. Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.

    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.

    3. Proxyprotocol: kies http (toont en beheert alle verzoeken die zijn ontvangen van de client) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

    4. Verificatietype: kies uit de volgende verificatietypen:

      • Geen: geen verdere verificatie is vereist.

        Beschikbaar voor HTTP-of HTTPS-proxy's.

      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.

        Beschikbaar voor HTTP-of HTTPS-proxy's.

        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

        Alleen beschikbaar voor HTTPS-proxy's.

        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

Volg de volgende stappen voor een transparante inspectie proxy, een HTTP Explicit-proxy met basisverificatie of een HTTPS-expliciete proxy.

3

Klik op een hoofdcertificaat of eindentiteit certificaat uploadenen navigeer vervolgens naar een kies de hoofdcertificaat voor de proxy.

Het certificaat is geüpload, maar is nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijlpunt punthaak op de naam van de certificaatuitgever voor meer informatie of klik op verwijderen Als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

4

Klik op proxy verbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

Als de verbindingstest mislukt, wordt er een foutbericht weergegeven met de reden en hoe u het probleem kunt oplossen.

Als u een bericht ziet dat de externe DNS-omzetting niet is geslaagd, kan het knooppunt de DNS-server niet bereiken. Deze situatie wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de geblokkeerde externe DNS-omzettingsmodus. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u vervolgens Modus voor geblokkeerde externe DNS-resolutie uitschakelen.

5

Nadat de verbindingstest is geslaagd, voor expliciete proxy ingesteld op alleen https, schakelt u het in-/uitschakelen in om alle poort 443/444 HTTPS-aanvragen van dit knooppunt te routeren via de expliciete proxy. Deze instelling vereist 15 seconden om van kracht te worden.

6

Klik op alle certificaten installeren in het vertrouwde archief (wordt weergegeven voor een HTTPS-expliciete proxy of een transparante inspectie proxy) of opnieuw opstarten (wordt weergegeven voor een http-expliciete proxy), lees de prompt en klik vervolgens op installeren Als u klaar bent.

Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

7

Nadat het knooppunt opnieuw is opgestart, meldt u zich opnieuw aan indien nodig en opent u de overzichts pagina om te controleren of ze allemaal in de groene status zijn.

De controle van de proxyverbinding test alleen een subdomein van webex.com. Als er problemen zijn met de verbinding, is een veelvoorkomend probleem dat sommige Cloud domeinen die worden vermeld in de installatie-instructies, worden geblokkeerd op de proxy.

Het eerste knooppunt in het cluster registreren

Bij deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in De VM voor hybride databeveiliging instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd voor redundantie.

Voordat u begint

  • Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.

  • Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik op Instellen.

4

Klik op de pagina die wordt geopend op Een resource toevoegen.

5

Voer in het eerste veld van de kaart Een knooppunt toevoegen een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

We raden u aan een cluster een naam te geven op basis van de plaats waar de knooppunten van de cluster zich geografisch bevinden. Voorbeelden: "San Francisco", "New York" of "Dallas"

6

Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Toevoegen onderaan het scherm.

Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein die u hebt gebruikt in De VM voor hybride databeveiliging instellen.

Er wordt een bericht weergegeven dat aangeeft dat u uw knooppunt kunt registreren bij de Webex.
7

Klik op Naar knooppunt gaan.

Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.

8

Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
9

Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging Partnerhub.

Op de pagina Hybride databeveiliging wordt de nieuwe cluster met het knooppunt dat u hebt geregistreerd weergegeven onder het tabblad Resources . Het knooppunt downloadt automatisch de nieuwste software uit de cloud.

Meer knooppunten maken en registreren

Om extra knooppunten aan uw cluster toe te voegen, maakt u extra VM's en koppelt u hetzelfde ISO-configuratiebestand. Vervolgens registreert u het knooppunt. We raden aan dat u minimaal 3 knooppunten hebt.

Voordat u begint

  • Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.

  • Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

1

Maak een nieuwe virtuele machine van de OVA en herhaal de stappen in De HDS-host-OVA installeren.

2

Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De VM voor hybride databeveiliging instellen.

3

Herhaal op de nieuwe VM de stappen in De HDS-configuratie-ISO uploaden en koppelen.

4

Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Het HDS-knooppunt configureren voor proxyintegratie indien nodig voor het nieuwe knooppunt.

5

Registreer het knooppunt.

  1. Selecteer in https://admin.webex.comServices in het menu aan de linkerkant van het scherm.

  2. Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik op Alles weergeven.

    De pagina Resources hybride databeveiliging wordt weergegeven.
  3. Het nieuwe cluster wordt weergegeven op de pagina Resources .

  4. Klik op het cluster om de knooppunten weer te geven die aan het cluster zijn toegewezen.

  5. Klik op Een knooppunt toevoegen aan de rechterkant van het scherm.

  6. Voer het interne IP-adres of de volledig gekwalificeerde domeinnaam van uw knooppunt in en klik op Toevoegen.

    Er wordt een pagina geopend met een bericht dat aangeeft dat u uw knooppunt kunt registreren bij de Webex-cloud. Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging Partnerhub.

    Het pop-upbericht Knooppunt toegevoegd wordt ook onderaan het scherm in Partnerhub weergegeven.

    Uw knooppunt is geregistreerd.

Tenantorganisaties beheren voor hybride databeveiliging met meerdere tenants

HDS met meerdere tenants activeren in Partner Hub

Deze taak zorgt ervoor dat alle gebruikers van de klantorganisaties HDS kunnen gaan gebruiken voor lokale coderingssleutels en andere beveiligingsservices.

Voordat u begint

Zorg ervoor dat u het instellen van uw HDS-cluster met meerdere tenants hebt voltooid met het vereiste aantal knooppunten.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Instellingen bewerken.

4

Klik op HDS activeren op de kaart HDS-status .

Tenantorganisaties toevoegen in Partner Hub

In deze taak wijst u klantorganisaties toe aan uw cluster voor hybride databeveiliging.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Alles weergeven.

4

Klik op het cluster waaraan u wilt dat een klant wordt toegewezen.

5

Ga naar het tabblad Toegewezen klanten .

6

Klik op Klanten toevoegen.

7

Selecteer de klant die u wilt toevoegen in het vervolgkeuzemenu.

8

Klik op Toevoegen. De klant wordt aan het cluster toegevoegd.

9

Herhaal stap 6 tot en met 8 om meerdere klanten aan uw cluster toe te voegen.

10

Klik op Gereed onderaan het scherm zodra u de klanten hebt toegevoegd.

De volgende stappen

Voer de HDS-setuptool uit zoals beschreven in Hoofdsleutels voor klanten maken (CMK's) met de HDS-setuptool om het setupproces te voltooien.

Hoofdsleutels voor de klant maken met de HDS-setuptool

Voordat u begint

Wijs klanten toe aan het juiste cluster zoals beschreven in Tenantorganisaties toevoegen in Partner Hub. Voer de HDS-setuptool uit om het setupproces voor de nieuw toegevoegde klantorganisaties te voltooien.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Partnerhub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:

    • Aanmeldgegevens database

    • Certificaatupdates

    • Wijzigingen in autorisatiebeleid

  • Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Klik op de pagina ISO-import op Ja.

10

Selecteer uw ISO-bestand in de browser en upload het.

Zorg ervoor dat u verbinding hebt met uw database om CMK-beheer uit te voeren.
11

Ga naar het tabblad Tenant CMK-beheer . Hier vindt u de volgende drie manieren om tenant-CMK's te beheren.

  • CMK maken voor alle organisaties of CMK maken : klik op deze knop in de banner bovenaan het scherm om CMK's te maken voor alle nieuw toegevoegde organisaties.
  • Klik op de knop CMK's beheren aan de rechterkant van het scherm en klik op CMK's maken om CMK's te maken voor alle nieuw toegevoegde organisaties.
  • Klik op ... in de buurt van de status CMK-beheer in behandeling van een specifieke organisatie in de tabel en klik op CMK maken om CMK voor die organisatie te maken.
12

Wanneer het maken van CMK is gelukt, verandert de status in de tabel van CMK-beheer in behandeling in CMK beheerd.

13

Als het maken van CMK is mislukt, wordt een fout weergegeven.

Tenantorganisaties verwijderen

Voordat u begint

Na het verwijderen, kunnen gebruikers van klantorganisaties HDS niet meer gebruiken voor hun coderingsbehoeften en verliezen alle bestaande ruimten. Neem contact op met uw Cisco-partner of accountmanager voordat u klantorganisaties verwijdert.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Alles weergeven.

4

Klik op het tabblad Resources op het cluster waarvan u klantorganisaties wilt verwijderen.

5

Klik op de pagina die wordt geopend op Toegewezen klanten.

6

Klik in de lijst met klantorganisaties die worden weergegeven op ... aan de rechterkant van de klantorganisatie die u wilt verwijderen en klik op Verwijderen uit cluster.

De volgende stappen

Voltooi het verwijderingsproces door de CMK's van de klantorganisaties in te trekken, zoals beschreven in CMK's van tenants die zijn verwijderd uit HDS intrekken.

CMK's van tenants die zijn verwijderd uit HDS intrekken.

Voordat u begint

Verwijder klanten uit het juiste cluster zoals beschreven in Tenantorganisaties verwijderen. Voer de HDS-setuptool uit om het verwijderingsproces voor de klantorganisaties die zijn verwijderd te voltooien.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Partnerhub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:

    • Aanmeldgegevens database

    • Certificaatupdates

    • Wijzigingen in autorisatiebeleid

  • Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Klik op de pagina ISO-import op Ja.

10

Selecteer uw ISO-bestand in de browser en upload het.

11

Ga naar het tabblad Tenant CMK-beheer . Hier vindt u de volgende drie manieren om tenant-CMK's te beheren.

  • CMK intrekken voor alle organisaties of CMK intrekken - Klik op deze knop in de banner bovenaan het scherm om de CMK's van alle organisaties die zijn verwijderd in te trekken.
  • Klik op de knop CMK's beheren aan de rechterkant van het scherm en klik op CMK's intrekken om de CMK's van alle organisaties die zijn verwijderd in te trekken.
  • Klik op ... in de buurt van de CMK die moet worden ingetrokken status van een specifieke organisatie in de tabel en klik op CMK intrekken om CMK voor die specifieke organisatie in te trekken.
12

Wanneer CMK-intrekking is gelukt, wordt de klantorganisatie niet meer in de tabel weergegeven.

13

Als de CMK-intrekking mislukt, wordt een fout weergegeven.

Uw implementatie voor hybride databeveiliging testen

Uw implementatie van hybride databeveiliging testen

Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging met meerdere tenants te testen.

Voordat u begint

  • Stel uw implementatie voor hybride databeveiliging met meerdere tenants in.

  • Zorg ervoor dat u toegang hebt tot het syslog om te controleren of belangrijke verzoeken naar uw implementatie van hybride databeveiliging met meerdere tenants worden doorgegeven.

1

Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de gebruikers van de klantorganisatie en maak vervolgens een ruimte.

Als u de implementatie voor hybride databeveiliging deactiveert, is inhoud in ruimten die gebruikers maken niet meer toegankelijk zodra de kopieën in de cache van de client van de coderingssleutels zijn vervangen.

2

Verzend berichten naar de nieuwe ruimte.

3

Controleer de syslog-uitvoer om te verifiëren of de sleutelverzoeken naar uw implementatie voor hybride databeveiliging gaan.

  1. Als u wilt controleren of een gebruiker eerst een beveiligd kanaal naar de KMS instelt, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

    U vindt een vermelding als het volgende (identifiers shortened for readability):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_SLEUTEL_VERZAMELING, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. Als u wilt controleren of een gebruiker een bestaande sleutel van de KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. Als u wilt controleren of een gebruiker een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
  4. Als u wilt controleren of een gebruiker een nieuw KMS Resource Object (KRO) aanvraagt wanneer een omgeving of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hybride databeveiliging controleren

Een statusindicator in Partnerhub geeft aan of alles in orde is met de implementatie van hybride databeveiliging met meerdere tenants. Als u proactief belt, meldt u zich aan voor e-mailmeldingen. U wordt geïnformeerd wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
1

Selecteer in Partnerhub de optie Services in het menu aan de linkerkant van het scherm.

2

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Instellingen bewerken.

De pagina Instellingen hybride databeveiliging wordt weergegeven.
3

Typ in het gedeelte E-mailmeldingen een of meer door komma's gescheiden e-mailadressen en druk op Enter.

Uw HDS-implementatie beheren

HDS-implementatie beheren

Gebruik de taken die hier worden beschreven om uw implementatie van hybride databeveiliging te beheren.

Planning van clusterupgrade instellen

Software-upgrades voor hybride databeveiliging worden automatisch op clusterniveau uitgevoerd, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens de upgradeplanning voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie het cluster handmatig vóór het geplande tijdstip van de upgrade te upgraden. U kunt een specifiek upgradeschema instellen of het standaardschema gebruiken van 3:00 uur Dagelijks in de Verenigde Staten: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

De upgradeplanning instellen:

1

Meld u aan bij Partner Hub.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices hybride databeveiliging en klik op Instellen

4

Selecteer het cluster op de pagina Resources hybride databeveiliging.

5

Klik op het tabblad Clusterinstellingen .

6

Selecteer op de pagina Clusterinstellingen bij Upgradeplanning de tijd en tijdzone voor de upgradeplanning.

Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen tot de volgende dag door op 24 uur uitstellen te klikken.

De knooppuntconfiguratie wijzigen

Soms moet u de configuratie van uw knooppunt voor hybride databeveiliging wijzigen vanwege een bijvoorbeeld:
  • X.509-certificaten wijzigen vanwege vervaldatum of andere redenen.

    We ondersteunen het wijzigen van de CN-domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om de cluster te registreren.

  • Database-instellingen bijwerken om te wijzigen in een kopie van de PostgreSQL- of Microsoft SQL Server-database.

    We ondersteunen het migreren van gegevens van PostgreSQL naar Microsoft SQL Server niet, of op de omgekeerde manier. Als u wilt schakelen tussen de databaseomgevingen, moet u een nieuwe implementatie van hybride databeveiliging starten.

  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

Bovendien gebruikt Hybride databeveiliging voor beveiligingsdoeleinden wachtwoorden voor serviceaccounts die een levensduur van negen maanden hebben. Nadat de HDS-setuptool deze wachtwoorden heeft gegenereerd, implementeert u deze in uw HDS-knooppunten in het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een melding van het Webex-team om het wachtwoord voor uw machineaccount opnieuw in te stellen. (Het e-mailbericht bevat de tekst: 'Gebruik het machineaccount API om het wachtwoord bij te werken.') Als uw wachtwoord nog niet is verlopen, geeft de tool u twee opties:

  • Zachte reset: de oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO-bestand op de knooppunten stapsgewijs te vervangen.

  • Harde reset: de oude wachtwoorden werken niet direct meer.

Als uw wachtwoorden verlopen zonder opnieuw in te stellen, is dit van invloed op uw HDS-service, waarvoor onmiddellijke harde reset en vervanging van het ISO-bestand op alle knooppunten nodig is.

Gebruik deze procedure om een nieuw ISO-configuratiebestand te genereren en dit toe te passen op uw cluster.

Voordat u begint

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de referenties van een Partnerhub-account met volledige partnerbeheerdersrechten vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container in 1.e opent. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel voor de versleuteling van PostgreSQL of Microsoft SQL Server-database. U hebt de ISO nodig wanneer u configuratiewijzigingen aan aanbrengen, waaronder databasereferenties, certificaatupdates of wijzigingen aan autorisatiebeleid.

1

Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

  1. Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

    In normale omgevingen:

    docker rmi ciscocitg/hds-setup:stabiel

    In FedRAMP-omgevingen:

    docker rmi ciscocitg/hds-setup-fedramp:stabiel

    Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

  2. Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

    docker login -u hdscustomersro
  3. Voer bij de wachtwoordprompt deze hash in:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Download de nieuwste stabiele afbeelding voor uw omgeving:

    In normale omgevingen:

    docker pull ciscocitg/hds-setup:stabiel

    In FedRAMP-omgevingen:

    docker pull ciscocitg/hds-setup-fedramp:stabiel

    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 hebben niet de schermen voor het opnieuw instellen van wachtwoorden.

  5. Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

    • In normale omgevingen zonder proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • In normale omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In normale omgevingen met HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In FedRAMP-omgevingen zonder een proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.

    De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

  7. Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de klant van uw Partnerhub in en klikt u vervolgens op Accepteren om door te gaan.

  8. Importeer het huidige ISO-configuratiebestand.

  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

    Als u de setuptool wilt afsluiten, typt u CTRL+C.

  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

2

Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor hybride databeveiliging en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

  1. Installeer de HDS-host-OVA.

  2. Stel de HDS-VM in.

  3. Koppel het bijgewerkte configuratiebestand.

  4. Registreer het nieuwe knooppunt in Partnerhub.

3

Voor bestaande HDS-knooppunten waar het oudere configuratiebestand op wordt uitgevoerd, moet u het ISO-bestand onder brengen. Voer de volgende procedure uit op elk knooppunt. Werk elk knooppunt bij voordat u het volgende knooppunt uit schakelen:

  1. Schakel de virtuele machine uit.

  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  3. Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

  4. Schakel het selectievakje Verbinding maken na inschakelen in.

  5. Sla uw wijzigingen op en schakel de virtuele machine in.

4

Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

Geblokkeerde externe DNS-omzettingsmodus uitschakelen

Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. Als de DNS-server van het knooppunt geen publieke DNS-namen kan omzetten, wordt het knooppunt automatisch in de geblokkeerde externe DNS-omzettingsmodus geplaatst.

Als uw knooppunten publieke DNS-namen kunnen omzetten via interne DNS-servers, kunt u deze modus uitschakelen door de proxy verbindingstest opnieuw uit te voeren op elk knooppunt.

Voordat u begint

Zorg ervoor dat uw interne DNS-servers publieke DNS-namen kunnen omzetten en dat uw knooppunten met hen kunnen communiceren.
1

Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/setup, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt instelt en klik vervolgens op Aanmelden.

2

Ga naar overzicht (de standaardpagina).

Indien ingeschakeld, wordt de geblokkeerde externe DNS-omzetting ingesteld op Ja.

3

Ga naar de pagina vertrouwde winkel >-proxy .

4

Klik op proxy verbinding controleren.

Als er een bericht wordt weergegeven met de melding dat de externe DNS-omzetting niet is geslaagd, is het knooppunt niet in staat om de DNS-server te bereiken en blijft deze in deze modus. Anders moet de geblokkeerde externe DNS-omzetting worden ingesteld op Nee als u het knooppunt opnieuw hebt opgestart en teruggaat naar de overzichtspagina.

De volgende stappen

Herhaal de proxy verbindingstest op elk knooppunt in uw cluster voor hybride data beveiliging.

Een knooppunt verwijderen

Gebruik deze procedure om een knooppunt voor hybride databeveiliging te verwijderen uit de Webex-cloud. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
1

Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en schakel de virtuele machine uit.

2

Verwijder het knooppunt:

  1. Meld u aan bij Partnerhub en selecteer Services.

  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources hybride databeveiliging weer te geven.

  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

  4. Klik op het knooppunt dat u wilt verwijderen.

  5. Klik op Dit knooppunt afmelden in het deelvenster dat aan de rechterkant wordt weergegeven

  6. U kunt de registratie van het knooppunt ook ongedaan maken door te klikken op … aan de rechterkant van het knooppunt en Dit knooppunt verwijderen te selecteren.

3

Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

Als u de VM niet verwijdert, vergeet dan niet om het ISO-configuratiebestand te ontkoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken voor toegang tot uw beveiligingsgegevens.

Noodherstel met behulp van stand-bydatacenter

De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt om berichten en andere inhoud die is opgeslagen in de Webex-cloud te coderen. Voor elke gebruiker in de organisatie die is toegewezen aan hybride databeveiliging, worden aanvragen voor het maken van nieuwe sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de gemaakte sleutels aan alle gebruikers die bevoegd zijn om deze op te halen, bijvoorbeeld leden van een gespreksruimte.

Omdat het cluster de kritieke functie uitvoert voor het leveren van deze sleutels, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden onderhouden. Verlies van de database voor hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van klantinhoud. Om dergelijk verlies te voorkomen, zijn de volgende praktijken verplicht:

Als de HDS-implementatie in het primaire datacenter niet beschikbaar wordt door een ramp, volgt u deze procedure om handmatig failover naar het stand-bydatacenter te maken.

Voordat u begint

De registratie van alle knooppunten van Partnerhub ongedaan maken, zoals vermeld in Een knooppunt verwijderen. Gebruik het nieuwste ISO-bestand dat is geconfigureerd voor de knooppunten van het cluster dat eerder actief was, om de hieronder vermelde failoverprocedure uit te voeren.
1

Start de HDS-setuptool en volg de stappen die worden vermeld in Een configuratie-ISO voor de HDS-hosts maken.

2

Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

3

Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

4

Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

5

Klik op Instellingen bewerken >CD/DVD-station 1 en selecteer ISO-gegevensopslagbestand.

Zorg ervoor dat Verbonden en Verbinding maken bij inschakelen zijn ingeschakeld, zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

6

Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 15 minuten geen alarmen zijn.

7

Registreer het knooppunt in Partnerhub. Raadpleeg Het eerste knooppunt in het cluster registreren.

8

Herhaal het proces voor elk knooppunt in het stand-bydatacenter.

De volgende stappen

Als het primaire datacenter na failover weer actief wordt, verwijdert u de registratie van de knooppunten van het stand-bydatacenter en herhaalt u het proces van configuratie van de ISO en registratie van de knooppunten van het primaire datacenter, zoals hierboven vermeld.

(Optioneel) ISO ontkoppelen na HDS-configuratie

De standaard HDS-configuratie wordt uitgevoerd met de aangekoppelde ISO. Sommige klanten geven er echter de voorkeur aan dat ISO-bestanden niet continu worden gekoppeld. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

U gebruikt nog steeds de ISO-bestanden om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de setuptool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra alle knooppunten de configuratiewijzigingen hebben opgehaald, kunt u de ISO opnieuw loskoppelen met deze procedure.

Voordat u begint

Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

1

Sluit een van uw HDS-knooppunten af.

2

Selecteer het HDS-knooppunt in het vCenter Server Appliance.

3

Kies Instellingen bewerken > CD/DVD-station en schakel ISO-gegevensopslagbestand uit.

4

Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 20 minuten geen alarmen zijn.

5

Herhaal om de beurt voor elk HDS-knooppunt.

Problemen met hybride databeveiliging oplossen

Waarschuwingen weergeven en problemen oplossen

Een implementatie van Hybride databeveiliging wordt als niet beschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als de cluster zo langzaam werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

  • Er kunnen geen nieuwe ruimten worden gemaakt (kan geen nieuwe sleutels maken)

  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

    • Nieuwe gebruikers die aan een ruimte zijn toegevoegd (kunnen geen sleutels ophalen)

    • Bestaande gebruikers in een ruimte met een nieuwe client (kunnen geen sleutels ophalen)

  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

Het is belangrijk dat u uw cluster voor hybride databeveiliging goed controleert en alle waarschuwingen onmiddellijk adresseert om onderbreking van de service te voorkomen.

Waarschuwingen

Als er een probleem is met de configuratie van hybride databeveiliging, geeft Partnerhub waarschuwingen weer aan de organisatiebeheerder en verzendt u e-mails naar het geconfigureerde e-mailadres. De waarschuwingen behandelen veel algemene scenario's.

Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

Waarschuwen

Actie

Lokale databasetoegang mislukt.

Controleer op databasefouten of problemen met het lokale netwerk.

Verbinding met lokale database mislukt.

Controleer of de databaseserver beschikbaar is en of de juiste referenties van het serviceaccount zijn gebruikt in de knooppuntconfiguratie.

Toegang tot cloudservice mislukt.

Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Vereisten voor externe connectiviteit.

De registratie van cloudservice wordt verlengd.

Registratie bij cloudservices is verbroken. De registratie wordt verlengd.

Registratie van cloudservice verbroken.

Registratie bij cloudservices is beëindigd. Service wordt afgesloten.

Service nog niet geactiveerd.

HDS activeren in Partnerhub.

Het geconfigureerde domein komt niet overeen met het servercertificaat.

Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

De meest waarschijnlijke oorzaak is dat de algemene naam van het certificaat onlangs is gewijzigd en nu anders is dan de algemene naam die tijdens de eerste installatie is gebruikt.

Kan niet verifiëren bij cloudservices.

Controleer op de nauwkeurigheid en mogelijke vervaldatum van de referenties van het serviceaccount.

Openen van lokaal keystore-bestand is mislukt.

Controleer op integriteit en wachtwoordnauwkeurigheid in het lokale keystore-bestand.

Het lokale servercertificaat is ongeldig.

Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

Kan statistieken niet plaatsen.

Controleer de toegang van het lokale netwerk tot externe cloudservices.

De map /media/configdrive/hds bestaat niet.

Controleer de ISO-koppelconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om te koppelen bij opnieuw opstarten en of het met succes wordt gekoppeld.

De tenantorganisatie-instellingen zijn niet voltooid voor de toegevoegde organisaties

Voltooi de installatie door CMK's te maken voor nieuw toegevoegde tenantorganisaties met de HDS-setuptool.

De tenantorganisatie is niet voltooid voor de verwijderde organisaties

Voltooi de installatie door CMK's van tenantorganisaties die zijn verwijderd met de HDS-setuptool in te trekken.

Problemen met hybride databeveiliging oplossen

Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met Hybride databeveiliging.
1

Controleer Partnerhub voor waarschuwingen en los alle items op die u daar vindt. Zie de afbeelding hieronder ter referentie.

2

Controleer de uitvoer van de Syslog-server voor activiteit van de implementatie van hybride databeveiliging. Filter op woorden als 'Waarschuwing' en 'Fout' om problemen op te lossen.

3

Neem contact op met Cisco-ondersteuning.

Overige opmerkingen

Bekende problemen voor hybride databeveiliging

  • Als u uw cluster voor hybride databeveiliging afsluit (door deze te verwijderen in Partner Hub of door alle knooppunten te sluiten), uw ISO-configuratiebestand te verliezen of de toegang tot de keystore-database te verliezen, kunnen gebruikers van de Webex-app van klantorganisaties niet langer ruimten gebruiken onder hun lijst Personen die zijn gemaakt met sleutels van uw KMS. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en we verzoeken u dringend uw HDS-services niet te beëindigen zodra deze actieve gebruikersaccounts afhandelen.

  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een bepaalde tijd (waarschijnlijk één uur).

OpenSSL gebruiken om een PKCS12-bestand te genereren

Voordat u begint

  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS-setuptool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten de ene weg niet boven de andere.

  • Als u ervoor kiest OpenSSL te gebruiken, bieden we deze procedure als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

  • Maak een privésleutel.

  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificerende instantie (CA).

1

Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

2

Geef het certificaat weer als tekst en verifieer de details.

openssl x509 -text -noout -in hdsnode.pem

3

Gebruik een tekstverwerker om een certificaatbundelbestand met de naam hdsnode-bundle.pem te maken. Het bundelbestand moet het servercertificaat, eventuele tussenliggende CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

----BEGIN CERTIFICATE------ ### Servercertificaat. ### -----END CERTIFICATE----------BEGIN CERTIFICATE----- ### Tussenliggend CA-certificaat. ### ----END CERTIFICATE----------BEGIN CERTIFICATE----- ### Basis CA-certificaat. ### -----END CERTIFICATE-----

4

Maak het .p12-bestand met de beschrijvende naam kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -naam kms-private-key -caname kms-private-key -out hdsnode.p12

5

Controleer de details van het servercertificaat.

  1. openssl pkcs12 -in hdsnode.p12

  2. Voer bij de prompt een wachtwoord in om de privésleutel te coderen zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de regels bevatten friendlyName: kms-privésleutel.

    Voorbeeld:

    bash$ openssl pkcs12 -in hdsnode.p12 Voer importwachtwoord in: Mac heeft OK Bag Attributes geverifieerd friendlyName: kms-privésleutel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Sleutelkenmerken:  Voer de PEM-wachtwoordzin in: Verifiëren - Voer de PEM-wachtwoordzin in: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-privésleutel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

De volgende stappen

Keer terug naar Aan de vereisten voor hybride databeveiliging voldoen. U gebruikt het bestand hdsnode.p12 en het wachtwoord dat u ervoor hebt ingesteld in Een configuratie-ISO voor de HDS-hosts maken.

U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

Verkeer tussen de HDS-knooppunten en de cloud

Verzamelverkeer uitgaande statistieken

De knooppunten voor hybride databeveiliging verzenden bepaalde statistieken naar de Webex-cloud. Hieronder vallen systeemstatistieken voor max. heap, gebruikte heap, CPU-belasting en threadtelling; statistieken op synchrone en asynchrone threads; statistieken over waarschuwingen met een drempel voor coderingsverbindingen, latentie of een aanvraagwachtrijlengte; statistieken in de gegevensopslag; en statistieken voor coderingsverbinding. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (afzonderlijk van het verzoek) kanaal.

Inkomend verkeer

De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer van de Webex-cloud:

  • Coderingsverzoeken van clients, die door de coderingsservice worden gerouteerd

  • Upgrades van de knooppuntsoftware

Het configureren van inktvis-Proxy's voor hybride data beveiliging

WebSocket kan geen verbinding maken via de inktvis-proxy

Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:) verstoren die vereist zijn voor hybride databeveiliging. Deze secties bevatten leidraden voor het configureren van verschillende versies van inktvis om WSS te negeren: verkeer voor de juiste werking van de services.

Pijlinktvis 4 en 5

Voeg de on_unsupported_protocol richtlijn toe aan squid.conf:

on_unsupported_protocol alles tunnel

Inktvis 3.5.27

De hybride gegevensbeveiliging is getest met de volgende regels die zijn toegevoegd aan inktvis. conf. Deze regels kunnen worden gewijzigd wanneer we functies ontwikkelen en de Webex Cloud bijwerken.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl stap1 at_step SslBump1 acl stap2 at_step SslBump2 acl stap3 at_step SslBump3 ssl_bump bekijk stap1 alle ssl_bump staren stap2 alle ssl_bump bump stap3 alle

Nieuwe en gewijzigde informatie

Nieuwe en gewijzigde informatie

Deze tabel bevat nieuwe functies of functionaliteiten, wijzigingen in bestaande inhoud en belangrijke fouten die zijn opgelost in de Implementatiehandleiding voor hybride databeveiliging met meerdere tenants.

Datum

Wijzigingen aangebracht

15 januari 2025

Beperkingen van hybride databeveiliging met meerdere tenants toegevoegd.

8 januari 2025

Er is een opmerking toegevoegd in Eerste installatie uitvoeren en installatiebestanden downloaden waarin staat dat het klikken op Instellen op de HDS-kaart in Partner Hub een belangrijke stap is in het installatieproces.

7 januari 2025

Bijgewerkte vereisten voor virtuele host, taakstroom voor implementatie van hybride databeveiliging en installeer de HDS-host-OVA om de nieuwe ESXi 7.0-vereiste weer te geven.

13 december 2024

Eerst gepubliceerd.

Hybride databeveiliging met meerdere tenants deactiveren

Taakstroom voor deactivering van HDS met meerdere tenants

Volg deze stappen om HDS met meerdere tenants volledig te deactiveren.

Voordat u begint

Deze taak mag alleen worden uitgevoerd door een volledige partnerbeheerder.
1

Verwijder alle klanten uit al uw clusters, zoals vermeld in Tenantorganisaties verwijderen.

2

Trek de CMK's van alle klanten in, zoals vermeld in CMK's van tenants die zijn verwijderd uit HDS intrekken..

3

Verwijder alle knooppunten uit al uw clusters, zoals vermeld in Een knooppunt verwijderen.

4

Verwijder al uw clusters uit Partnerhub met een van de volgende twee methoden.

  • Klik op het cluster dat u wilt verwijderen en selecteer Dit cluster verwijderen in de rechterbovenhoek van de overzichtspagina.
  • Klik op de pagina Resources op ... aan de rechterkant van een cluster en selecteer Cluster verwijderen.
5

Klik op het tabblad Instellingen op de overzichtspagina Hybride databeveiliging en klik op HDS deactiveren op de HDS-statuskaart.

Aan de slag met hybride databeveiliging voor meerdere tenants

Overzicht van hybride databeveiliging met meerdere tenants

Vanaf dag één is gegevensbeveiliging de primaire focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end-inhoudscodering, ingeschakeld door clients van de Webex-app die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografiesleutels die clients gebruiken om berichten en bestanden dynamisch te coderen en te decoderen.

Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride databeveiliging verplaatst de KMS en andere beveiligingsgerelateerde functies naar uw bedrijfsdatacenter, dus niemand maar u beschikt over de sleutels voor uw gecodeerde inhoud.

Met Hybride databeveiliging voor meerdere tenants kunnen organisaties HDS gebruiken via een vertrouwde lokale partner, die kan optreden als serviceprovider en codering en andere beveiligingsservices op locatie kan beheren. Met deze instelling kan de partnerorganisatie volledige controle hebben over de implementatie en het beheer van coderingssleutels en zorgen ervoor dat gebruikersgegevens van klantorganisaties veilig zijn tegen externe toegang. Partnerorganisaties stellen HDS-instanties in en maken indien nodig HDS-clusters. Elk exemplaar kan meerdere klantorganisaties ondersteunen, in tegenstelling tot een reguliere HDS-implementatie die beperkt is tot één organisatie.

Hoewel partnerorganisaties de implementatie en het beheer onder controle hebben, hebben ze geen toegang tot gegevens en inhoud die door klanten zijn gegenereerd. Deze toegang is beperkt tot klantorganisaties en hun gebruikers.

Hierdoor kunnen kleinere organisaties ook HDS gebruiken, omdat sleutelbeheerservice en beveiligingsinfrastructuur zoals datacenters eigendom zijn van de vertrouwde lokale partner.

Hoe hybride databeveiliging met meerdere tenants gegevenssoevereiniteit en gegevenscontrole biedt

  • Door gebruikers gegenereerde inhoud wordt beschermd tegen externe toegang, zoals cloudserviceproviders.
  • Lokale vertrouwde partners beheren de coderingssleutels van klanten met wie ze al een bestaande relatie hebben.
  • Optie voor lokale technische ondersteuning, indien verstrekt door de partner.
  • Ondersteunt inhoud voor vergaderingen, berichten en gesprekken.

Dit document is bedoeld om partnerorganisaties te helpen bij het instellen en beheren van klanten onder een systeem voor hybride databeveiliging met meerdere tenants.

Beperkingen van hybride databeveiliging met meerdere tenants

  • Partnerorganisaties mogen geen bestaande HDS-implementatie actief hebben in Control Hub.
  • Tenant- of klantorganisaties die door een partner willen worden beheerd, mogen geen bestaande HDS-implementatie hebben in Control Hub.
  • Zodra Multi-tenant HDS door de partner is geïmplementeerd, gaan alle gebruikers van klantorganisaties en gebruikers van de partnerorganisatie gebruikmaken van Multi-tenant HDS voor hun coderingsservices.

    De partnerorganisatie en klantorganisaties die zij beheren, bevinden zich in dezelfde HDS-implementatie voor meerdere tenants.

    De partnerorganisatie gebruikt geen Cloud KMS meer nadat een multi-tenant-HDS is geïmplementeerd.

  • Er is geen mechanisme om sleutels terug te verplaatsen naar Cloud KMS na een HDS-implementatie.
  • Momenteel kan elke HDS-implementatie met meerdere tenants slechts één cluster hebben, met meerdere knooppunten eronder.
  • Beheerdersrollen hebben bepaalde beperkingen. Zie het onderstaande gedeelte voor meer informatie.

Rollen in hybride databeveiliging met meerdere tenants

  • Volledige partnerbeheerder : kan instellingen beheren voor alle klanten die de partner beheert. Kan ook beheerdersrollen toewijzen aan bestaande gebruikers in de organisatie en specifieke klanten toewijzen die moeten worden beheerd door partnerbeheerders.
  • Partnerbeheerder : kan instellingen beheren voor klanten die door de beheerder zijn ingericht of die aan de gebruiker zijn toegewezen.
  • Volledige beheerder - Beheerder van de partnerorganisatie die bevoegd is om taken uit te voeren zoals het wijzigen van organisatie-instellingen, het beheren van licenties en het toewijzen van rollen.
  • End-to-end installatie en beheer van alle klantorganisaties met meerdere tenants : volledige partnerbeheerder en volledige beheerdersrechten vereist.
  • Beheer van toegewezen tenantorganisaties : partnerbeheerders en volledige beheerdersrechten vereist.

Architectuur beveiligingsrealm

De Webex-cloudarchitectuur scheidt verschillende typen services in verschillende realms of vertrouwensdomeinen, zoals hieronder afgebeeld.

Gescheiden ruimten (zonder hybride databeveiliging)

Laten we voor meer informatie over hybride databeveiliging eerst naar deze pure cloudcase kijken, waarbij Cisco alle functies in zijn clouddomeinen biedt. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks gecorreleerd kunnen worden met hun persoonlijke informatie, zoals hun e-mailadres, staat logischerwijs en fysiek los van de beveiligingsruimte in datacenter B. Beide staan op hun beurt los van de ruimte waar gecodeerde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

In dit diagram is de client de Webex-app die op de laptop van een gebruiker wordt uitgevoerd en is de identiteitsservice geverifieerd. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

  1. De client brengt een beveiligde verbinding tot stand met de sleutelbeheerservice (KMS) en vraagt vervolgens een sleutel aan om het bericht te coderen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

  2. Het bericht wordt gecodeerd voordat het de client verlaat. De client verzendt deze naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

  3. Het gecodeerde bericht wordt naar de nalevingsservice verzonden voor nalevingscontroles.

  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

Wanneer u hybride databeveiliging implementeert, verplaatst u de functies van de beveiligingsregio (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de rijken van Cisco.

Samenwerken met andere organisaties

Gebruikers in uw organisatie kunnen regelmatig de Webex-app gebruiken om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, leidt uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS op te halen. Vervolgens stuurt u de sleutel terug naar uw gebruiker op het oorspronkelijke kanaal.

De KMS-service die op Organisatie A wordt uitgevoerd, valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat dat u wilt gebruiken met uw implementatie van hybride databeveiliging met meerdere tenants.

Verwachtingen voor het implementeren van hybride databeveiliging

Een implementatie van Hybride databeveiliging vereist aanzienlijke inzet en een besef van de risico's die verbonden zijn aan het bezitten van coderingssleutels.

Voor het implementeren van hybride databeveiliging moet u het volgende opgeven:

Volledig verlies van de configuratie-ISO die u voor hybride databeveiliging maakt of de database die u opgeeft, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers ruimte-inhoud en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar is alleen nieuwe inhoud zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

  • Beheer de back-up en het herstel van de database en de configuratie-ISO.

  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing van de databaseselectie of een ramp in een datacenter.

Er is geen mechanisme om sleutels terug naar de cloud te verplaatsen na een HDS-implementatie.

Installatieproces op hoog niveau

In dit document worden de installatie en het beheer van een implementatie van hybride databeveiliging met meerdere tenants behandeld:

  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het bouwen van een HDS-cluster, het toevoegen van tenantorganisaties aan de cluster en het beheren van hun Customer Main Keys (CMK's). Hiermee kunnen alle gebruikers van uw klantorganisaties uw cluster voor hybride databeveiliging gebruiken voor beveiligingsfuncties.

    De installatie-, activerings- en beheerfasen worden in detail behandeld in de volgende drie hoofdstukken.

  • Uw implementatie van hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch doorlopende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig contact opnemen met Cisco-ondersteuning. U kunt meldingen op het scherm gebruiken en waarschuwingen op basis van e-mail instellen in Partner Hub.

  • Algemene waarschuwingen, stappen voor het oplossen van problemen en bekende problemen begrijpen: als u problemen ondervindt met het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen bij het bepalen en oplossen van het probleem.

Implementatiemodel voor hybride databeveiliging

In uw bedrijfsdatacenter implementeert u hybride databeveiliging als een enkele cluster knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

Tijdens het installatieproces voorzien we u van het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt koppelt. Het cluster voor hybride databeveiliging gebruikt uw opgegeven Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de Syslogd- en databaseverbindingsgegevens in de HDS-setuptool.)

Implementatiemodel voor hybride databeveiliging

Het minimum aantal knooppunten dat u in een cluster kunt hebben, is twee. We raden ten minste drie per cluster aan. Het hebben van meerdere knooppunten zorgt ervoor dat de service niet wordt onderbroken tijdens een software-upgrade of andere onderhoudsactiviteiten op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

Alle knooppunten in een cluster hebben toegang tot dezelfde belangrijke gegevensopslag en logboekactiviteit tot dezelfde syslog-server. De knooppunten zelf zijn staatloos en handelen sleutelverzoeken af op ronde-robin-manier, zoals aangegeven door de cloud.

Knooppunten worden actief wanneer u ze registreert in Partner Hub. Als u een afzonderlijk knooppunt uit dienst wilt nemen, kunt u de registratie ongedaan maken en later indien nodig opnieuw registreren.

Stand-by-datacenter voor noodherstel

Tijdens de implementatie stelt u een beveiligd stand-by datacenter in. In het geval van een datacenterramp kunt u de implementatie handmatig naar het stand-bydatacenter mislukken.

Vóór de failover heeft Datacenter A actieve HDS-knooppunten en de primaire PostgreSQL- of Microsoft SQL-serverdatabase, terwijl B een kopie heeft van het ISO-bestand met aanvullende configuraties, VM's die bij de organisatie zijn geregistreerd en een stand-bydatabase. Na failover heeft datacenter B actieve HDS-knooppunten en de primaire database, terwijl A niet-geregistreerde VM's en een kopie van het ISO-bestand heeft en de database in de stand-bymodus staat.
Handmatig failover naar stand-bydatacenter

De databases van de actieve en stand-bydatacenters zijn gesynchroniseerd met elkaar, waardoor de tijd die nodig is om de failover uit te voeren, wordt geminimaliseerd.

De actieve knooppunten voor hybride databeveiliging moeten zich altijd in hetzelfde datacenter bevinden als de actieve databaseserver.

Proxy ondersteuning

Hybride gegevensbeveiliging biedt ondersteuning voor expliciete, transparante inspectie en het niet-geïnspecteerde proxy's. U kunt deze proxy's koppelen aan uw implementatie zodat u verkeer van de onderneming kunt beveiligen en controleren naar de Cloud. U kunt een platformbeheer interface gebruiken op de knooppunten voor certificaatbeheer en de algehele verbindingsstatus controleren nadat u de proxy op de knooppunten hebt ingesteld.

De knooppunten voor hybride data beveiliging ondersteunen de volgende proxy opties:

  • Geen proxy: de standaard als u het HDS-knooppunt niet gebruikt, stelt u de vertrouwensarchief- en proxyconfiguratie in om een proxy te integreren. Er is geen certificaat update vereist.

  • Transparante proxy zonder inspectie: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres en hoeven geen wijzigingen te vereisen om te werken met een proxy zonder inspectie. Er is geen certificaat update vereist.

  • Transparent tunneling of inspecting proxy: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres. Er zijn geen HTTP-of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).

  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welke proxyserver en verificatieschema moeten worden gebruikt. Als u een expliciete proxy wilt configureren, moet u op elk knooppunt de volgende informatie invoeren:

    1. Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.

    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.

    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

      • HTTP: alle aanvragen die de client verzendt, worden weergegeven en beheerd.

      • HTTPS: geeft een kanaal aan de server. De client ontvangt en valideert het certificaat van de server.

    4. Verificatietype: kies uit de volgende verificatietypen:

      • Geen: geen verdere verificatie is vereist.

        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.

        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

        Alleen beschikbaar als u HTTPS als proxy protocol selecteert.

        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

Voorbeeld van knooppunten en proxy voor hybride data beveiliging

Dit diagram toont een voorbeeld van een verbinding tussen de hybride gegevensbeveiliging, het netwerk en een proxy. Voor de instellingen voor transparant inspecteren en HTTPS expliciet controleren, moeten dezelfde hoofdcertificaat op de proxy en op de knooppunten voor hybride data beveiliging worden geïnstalleerd.

Geblokkeerde externe DNS-omzettingsmodus (expliciete proxy configuraties)

Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. In implementaties met expliciete proxyconfiguraties die geen externe DNS-omzetting voor interne clients toestaan, als het knooppunt de DNS-servers niet kan opvragen, wordt de geblokkeerde externe DNS-omzettingsmodus automatisch ingeschakeld. In deze modus kan de registratie van knooppunten en andere proxy connectiviteitstests worden voortgezet.

Uw omgeving voorbereiden

Vereisten voor hybride databeveiliging met meerdere tenants

Cisco Webex-licentievereisten

Hybride databeveiliging met meerdere tenants implementeren:

  • Partnerorganisaties: Neem contact op met uw Cisco-partner of accountmanager en zorg ervoor dat de functie voor meerdere tenants is ingeschakeld.

  • Tenantorganisaties: U moet het Pro-pakket voor Cisco Webex Control Hub hebben. (Zie https://www.cisco.com/go/pro-pack.)

X.509-certificaatvereisten

De certificaatketen moet aan de volgende vereisten voldoen:

Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

Vereiste

Details

  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

Standaard vertrouwen we de CA's in de lijst met Mozilla (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

  • Draagt een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

  • Is geen wildcardcertificaat

De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die overeenkomt met uw organisatie, bijvoorbeeld hds.bedrijf.com.

De algemene naam mag geen * (jokerteken) bevatten.

De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren naar Webex-app-clients. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

Wanneer u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam.

  • Niet-SHA1-handtekening

De KMS-software biedt geen ondersteuning voor SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

  • Opgemaakt als een met een wachtwoord beveiligd PKCS #12-bestand

  • Gebruik de beschrijvende naam kms-private-key om het certificaat, de privésleutel en eventuele aanvullende certificaten te taggen om te uploaden.

U kunt een conversieprogramma zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

U moet het wachtwoord invoeren wanneer u de HDS-setuptool uitvoert.

De KMS-software dwingt geen beperkingen op het sleutelgebruik of het uitgebreide sleutelgebruik af. Sommige certificeringsinstanties vereisen dat uitgebreide gebruiksbeperkingen voor elk certificaat worden toegepast, zoals serververificatie. Het is oké om de serververificatie of andere instellingen te gebruiken.

Vereisten voor virtuele host

De virtuele hosts die u als knooppunten voor hybride databeveiliging in uw cluster instelt, hebben de volgende vereisten:

  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich samen in hetzelfde beveiligde datacenter bevinden

  • VMware ESXi 7.0 (of hoger) is geïnstalleerd en wordt uitgevoerd.

    Als u een eerdere versie van ESXi hebt, moet u upgraden.

  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

Vereisten voor databaseserver

Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. De HDS-toepassingen maken na installatie het databaseschema.

Er zijn twee opties voor databaseserver. De vereisten voor elk ervan zijn als volgt:

Tabel 2. Vereisten voor databaseserver per type database

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

  • SQL Server 2016, 2017 of 2019 (Enterprise of Standaard) geïnstalleerd.

    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten)

Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten)

De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

PostgreSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

SQL Server JDBC-stuurprogramma 4.6

Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover-clusterinstanties en Always On-beschikbaarheidsgroepen).

Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

  • De HDS-knooppunten, de Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees- en schrijftoegang hebben tot de database.

  • De DNS-servers die u aan HDS-knooppunten verstrekt, moeten uw Key Distribution Center (KDC) kunnen oplossen.

  • U kunt het exemplaar van de HDS-database op uw Microsoft SQL-server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een hoofdnaam voor de service registreren voor Kerberos-verbindingen.

    De HDS-setuptool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de details uit uw ISO-configuratie om de SPN te maken wanneer ze toegang aanvragen met Kerberos-verificatie.

Vereisten voor externe connectiviteit

Configureer uw firewall om de volgende connectiviteit voor de HDS-toepassingen toe te staan:

Toepassing

Protocol

Poort

Richting vanuit app

Bestemming

Knooppunten voor hybride databeveiliging

TCP

443

Uitgaande HTTPS en WSS

  • Webex-servers:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-hosts

  • Andere URL's die voor hybride databeveiliging worden vermeld in de tabel Aanvullende URL's voor hybride Webex-services met Netwerkvereisten voor Webex-services

HDS-setuptool

TCP

443

Uitgaande HTTPS

  • *.wbx2.com

  • Alle Common Identity-hosts

  • hub.docker.com

De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de vorige tabel toestaat. Voor verbindingen die inkomend naar de knooppunten voor hybride databeveiliging gaan, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22 voor administratieve doeleinden.

De URL's voor de Common Identity-hosts (CI) zijn regiospecifiek. Dit zijn de huidige CI-hosts:

Regio

URL's van host van algemene identiteit

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europese Unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Verenigde Arabische Emiraten
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vereisten voor de proxy server

  • We ondersteunen de volgende proxy oplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride data beveiliging.

    • Transparante proxy: Cisco Web Security Appliance (WSA).

    • Expliciete proxy-pijlinktvis.

      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:) verstoren. Zie Squid-proxy's configureren voor hybride databeveiliging om dit probleem te omzeilen.

  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

    • Geen verificatie met HTTP of HTTPS

    • Basisverificatie met HTTP of HTTPS

    • Alleen verificatiesamenvatting met HTTPS

  • Voor een transparante inspectie proxy of een HTTPS-expliciete proxy moet u een kopie van de hoofdcertificaat van de proxy hebben. De implementatie-instructies in deze handleiding geven aan hoe u de kopie kunt uploaden naar de vertrouwens archieven van de hybride Data Security-knooppunten.

  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 af te ronden via de proxy.

  • Proxy's die het webverkeer controleren, kunnen de WebSocket-verbindingen belemmeren. Als dit probleem zich voordoet, kunt u het probleem oplossen door het verkeer niet te controleren op wbx2.com en ciscospark.com .

Voldoen aan de vereisten voor hybride databeveiliging

Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
1

Zorg ervoor dat uw partnerorganisatie de functie Multi-tenant HDS heeft ingeschakeld en haal de referenties op van een account met volledige partnerbeheerder en volledige beheerdersrechten. Zorg ervoor dat uw Webex-klantorganisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

Klantorganisaties mogen geen bestaande HDS-implementatie hebben.

2

Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

3

Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt minimaal twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter staan en die voldoen aan de vereisten in Vereisten voor virtuele hosts.

4

Bereid de databaseserver voor die fungeert als de belangrijkste gegevensopslag voor het cluster, volgens de Vereisten van de databaseserver. De databaseserver moet in het beveiligde datacenter samen met de virtuele hosts worden geplaatst.

  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik niet de standaarddatabase. De HDS-toepassingen maken na installatie het databaseschema.)

  2. Verzamel de details die de knooppunten gebruiken om te communiceren met de databaseserver:

    • de hostnaam of het IP-adres (host) en de poort

    • de naam van de database (dbname) voor sleutelopslag

    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de sleutelopslagdatabase

5

Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft waarop HDS-knooppunten worden uitgevoerd, moet de back-upomgeving 3 VM's hebben.

6

Stel een syslog-host in om logboeken van de knooppunten in het cluster te verzamelen. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

7

Maak een beveiligd back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.

Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die voor het coderen en decoderen van inhoud worden gebruikt, zal het niet onderhouden van een operationele implementatie leiden tot ONHERSTELBAAR VERLIES van die inhoud.

Webex-app-clients slaan hun sleutels in het cachegeheugen, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen onmogelijk te voorkomen zijn, zijn ze herstelbaar. Een volledig verlies (er zijn geen back-ups beschikbaar) van de database of het ISO-configuratiebestand zal echter resulteren in onherstelbare klantgegevens. Van de operatoren van de knooppunten voor hybride databeveiliging wordt verwacht dat ze frequente back-ups van de database en het ISO-configuratiebestand bijhouden en dat ze voorbereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als zich een catastrofale storing voordoet.

8

Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw knooppunten voor hybride databeveiliging mogelijk maakt, zoals beschreven in Vereisten voor externe connectiviteit.

9

Installeer Docker ( https://www.docker.com) op een lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft op http://127.0.0.1:8080.

U gebruikt de Docker-instantie om de HDS Setup Tool te downloaden en uit te voeren, waarmee de lokale configuratiegegevens voor alle knooppunten voor hybride databeveiliging worden opgebouwd. Mogelijk hebt u een Docker Desktop-licentie nodig. Zie Vereisten voor Docker-desktops voor meer informatie.

Als u de HDS-setuptool wilt installeren en uitvoeren, moet de lokale machine de verbinding hebben die wordt beschreven in Vereisten voor externe connectiviteit.

10

Als u een proxy integreert met hybride databeveiliging, moet u controleren of deze voldoet aan de vereisten voor de proxyserver.

Een cluster voor hybride databeveiliging instellen

Taakstroom implementatie hybride databeveiliging

Voordat u begint

1

Voer de eerste installatie uit en download installatiebestanden

Download het OVA-bestand naar uw lokale machine voor later gebruik.

2

Een configuratie-ISO voor de HDS-hosts maken

Gebruik de HDS-setuptool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

3

De HDS-host-OVA installeren

Maak een virtuele machine met het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.

De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 7.0. Deze optie is mogelijk niet beschikbaar in eerdere versies.

4

VM voor hybride databeveiliging instellen

Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

5

De HDS-configuratie-ISO uploaden en koppelen

Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-setuptool.

6

Configureer het HDS-knooppunt voor proxy-integratie

Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u het proxycertificaat indien nodig toe aan de vertrouwensopslag.

7

Het eerste knooppunt in het cluster registreren

Registreer de VM bij de Cisco Webex-cloud als knooppunt voor hybride databeveiliging.

8

Meer knooppunten maken en registreren

Voltooi de clustersetup.

9

Activeer HDS met meerdere tenants in Partner Hub.

Activeer HDS en beheer tenantorganisaties in Partner Hub.

Voer de eerste installatie uit en download installatiebestanden

In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). U kunt dit bestand later in het installatieproces gebruiken.

1

Meld u aan bij Partnerhub en klik vervolgens op Services.

2

Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik vervolgens op Instellen.

Het is essentieel voor het implementatieproces te klikken op Instellen in Partnerhub. Ga niet verder met de installatie zonder deze stap te voltooien.

3

Klik op Een resource toevoegen en klik op OVA-bestand downloaden op de kaart Software installeren en configureren .

Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de meest recente versie van het OVA-bestand downloadt.

U kunt de OVA ook op elk moment downloaden via het gedeelte Help . Klik op Instellingen > Help > Software voor hybride databeveiliging downloaden.

Het downloaden van het OVA-bestand wordt automatisch gestart. Sla het bestand op een locatie op uw computer op.
4

U kunt ook op Implementatiegids voor hybride databeveiliging bekijken klikken om te controleren of er een nieuwere versie van deze handleiding beschikbaar is.

Een configuratie-ISO voor de HDS-hosts maken

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

Voordat u begint

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Op de pagina ISO-import hebt u de volgende opties:

  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de blader en uploadt u het.
10

Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

  • Als u nog nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
  • Als uw certificaat OK is, klikt u op Doorgaan.
  • Als uw certificaat is verlopen of u het wilt vervangen, selecteert u Nee voor Doorgaan met het gebruik van de HDS-certificaatketen en privésleutel van vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
11

Voer het databaseadres en het account in voor HDS om toegang te krijgen tot uw belangrijke gegevensopslag:

  1. Selecteer uw databasetype (PostgreSQL of Microsoft SQL Server).

    Als u Microsoft SQL Server kiest, wordt het veld Verificatietype weergegeven.

  2. (Alleen Microsoft SQL-server ) Selecteer uw verificatietype:

    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam .

    • Windows-verificatie: U hebt een Windows-account nodig met de indeling gebruikersnaam@DOMEIN in het veld Gebruikersnaam .

  3. Voer het adres van de databaseserver in de vorm : of : in.

    Voorbeeld:
    dbhost.example.org:1433 of 198.51.100.17:1433

    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

  4. Voer de Databasenaam in.

  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten op de sleutelopslagdatabase.

12

Selecteer een TLS-databaseverbindingsmodus:

Mode

Beschrijving

Voorkeur geven aan TLS (standaardoptie)

HDS-knooppunten vereisen geen TLS om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

TLS verplichten

HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

TLS verplichten en certificaat ondertekenaar verifiëren

Deze modus is niet van toepassing op SQL Server-databases.

  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het Basiscertificaat van de database. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

TLS verplichten en certificaat ondertekenaar en hostnaam verifiëren

  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het Basiscertificaat van de database. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databashost en poort . De namen moeten exact overeenkomen, of de verbinding wordt door het knooppunt ingspunt laten merken.

Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-setuptool de TLS-verbinding met de databaseserver. De tool controleert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, wordt er een foutmelding weergegeven waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de machine van de HDS-setuptool deze niet kan testen.)

13

Configureer uw Syslogd-server op de pagina Systeemlogboeken:

  1. Voer de URL van de syslog-server in.

    Als de server niet door het DNS kan worden omgezet vanaf de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

    Voorbeeld:
    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij de Syslogd-host 10.92.43.23 op UDP-poort 514.
  2. Als u uw server zo instelt dat deze TLS-codering gebruikt, schakelt u het selectievakje Is uw syslog-server geconfigureerd voor SSL-codering? in.

    Als u dit selectievakje inschakelt, moet u een TCP-URL zoals tcp://10.92.43.23:514 invoeren.

  3. Kies in de vervolgkeuzelijst Syslog-record beëindigen kiezen de juiste instelling voor uw ISO-bestand: Kiezen of nieuwe lijn wordt gebruikt voor Graylog en Rsyslog TCP

    • Null byte -- \x00

    • Regeleinde -- \n: selecteer deze keuze voor Graylog en Rsyslog TCP.

  4. Klik op Doorgaan.

14

(Optioneel) U kunt de standaardwaarde voor sommige parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u mogelijk wilt wijzigen:

app_datasource_connection_pool_maxGrootte: 10
15

Klik op Doorgaan in het scherm Wachtwoord voor serviceaccounts herstellen .

Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u ze wilt herstellen om eerdere ISO-bestanden ongeldig te maken.

16

Klik op ISO-bestand downloaden. Sla het bestand op een eenvoudig te vinden locatie op.

17

Maak een back-up van het ISO-bestand op uw lokale systeem.

Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

18

Als u de setuptool wilt afsluiten, typt u CTRL+C.

De volgende stappen

Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten te maken voor herstel of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het is niet mogelijk om de sleutels te herstellen van uw PostgreSQL- of Microsoft SQL Server-database.

We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze verliest.

De HDS-host-OVA installeren

Gebruik deze procedure om een virtuele machine te maken van het OVA-bestand.
1

Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

2

Selecteer Bestand > OVF-sjabloon implementeren.

3

Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

4

Op de pagina Een naam en map selecteren voert u een naam van de virtuele machine in voor het knooppunt (bijvoorbeeld 'HDS_Node_1'), kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u op Volgende.

5

Kies op de pagina Een rekenresource selecteren de bestemming van de rekenresource en klik vervolgens op Volgende.

Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloongegevens weergegeven.

6

Controleer de sjabloongegevens en klik vervolgens op Volgende.

7

Als u wordt gevraagd de resourceneconfiguratie op de pagina Configuratie te kiezen, klikt u op 4 CPU en vervolgens op Volgende.

8

Klik op de pagina Opslag selecteren op Volgende om het standaard schijfindeling en het VM-opslagbeleid te accepteren.

9

Op de pagina Netwerken selecteren kiest u de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

10

Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen :

  • Hostnaam: voer de FQDN (hostnaam en domein) of een enkele woord hostnaam voor het knooppunt in.
    • U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

    • Gebruik alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld om een succesvolle registratie bij de cloud te garanderen. Hoofdletters worden momenteel niet ondersteund.

    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

  • IP-adres: voer het IP-adres in voor de interne interface van het knooppunt.

    Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

  • Masker: voer het adres van het subnetmasker in puntdecimale notatie in. Bijvoorbeeld 255.255.255.0.
  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat dienst doet als een toegangspunt naar een ander netwerk.
  • DNS-servers: voer een door komma's gescheiden lijst in met DNS-servers die domeinnamen naar numerieke IP-adressen vertalen. (Er zijn maximaal 4 DNS-vermeldingen toegestaan.)
  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die voor uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster voor administratieve doeleinden bereikbaar zijn vanaf clients in uw netwerk.

Indien gewenst kunt u de configuratie van de netwerkinstelling overslaan en de stappen volgen in De VM voor hybride databeveiliging instellen om de instellingen te configureren vanuit de knooppuntconsole.

De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 7.0. Deze optie is mogelijk niet beschikbaar in eerdere versies.

11

Klik met de rechtermuisknop op het knooppunt VM en kies Aan/uit > Inschakelen.

De software voor hybride databeveiliging wordt als gast geïnstalleerd op de VM-host. U bent nu klaar om u aan te melden bij de console en het knooppunt te configureren.

Tips voor probleemoplossing

U kunt een vertraging van enkele minuten ervaren voordat de knooppuntcontainers omhoog komen. Tijdens de eerste keer opstarten verschijnt een bridge-firewallbericht op de console, waarbij u zich niet kunt aanmelden.

VM voor hybride databeveiliging instellen

Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en om de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

1

Selecteer in de VMware vSphere-client de VM van uw knooppunt voor hybride databeveiliging en het tabblad Console .

De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldingsprompt niet wordt weergegeven, drukt u op Enter.
2

Gebruik de volgende standaardaanmeldgegevens en -wachtwoorden om u aan te melden en de aanmeldgegevens te wijzigen:

  1. Aanmelden: beheer

  2. Wachtwoord: Cisco

Aangezien u zich voor de eerste keer bij uw VM aanmeldt, moet u het beheerderswachtwoord wijzigen.

3

Als u de netwerkinstellingen al hebt geconfigureerd in De HDS-host-OVA installeren, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken .

4

Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

5

(Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om overeen te stemmen met uw netwerkbeleid.

U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

6

Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen worden doorgevoerd.

De HDS-configuratie-ISO uploaden en koppelen

Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-setuptool.

Voordat u begint

Omdat het ISO-bestand de hoofdsleutel bevat, mag deze alleen worden weergegeven op een 'need to know'-basis, voor toegang door de VM's van hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen deze beheerders toegang hebben tot de gegevensopslag.

1

Upload het ISO-bestand vanaf uw computer:

  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

  2. Klik op de lijst Hardware van het tabblad Configuratie op Opslag.

  3. Klik in de lijst Gegevensopslag met de rechtermuisknop op de gegevensopslag voor uw VM's en klik op Gegevensopslag bladeren.

  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

  6. Klik op Ja om de waarschuwing voor het uploaden/downloaden te accepteren en sluit het dialoogvenster Gegevensopslag.

2

Koppel het ISO-bestand:

  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  2. Klik op OK om de waarschuwing met beperkte bewerkingsopties te accepteren.

  3. Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanuit een ISO-bestand van de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

  4. Schakel Verbonden en Verbinding maken na inschakelen in.

  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

De volgende stappen

Als uw IT-beleid dat vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (optioneel) ISO ontkoppelen na HDS-configuratie voor meer informatie.

Configureer het HDS-knooppunt voor proxy-integratie

Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride gegevensbeveiliging. Als u een transparante inspectering proxy of een HTTPS-expliciete proxy kiest, kunt u de interface van het knooppunt gebruiken om de hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding vanuit de interface controleren en mogelijke problemen oplossen.

Voordat u begint

1

Voer de installatie-URL van het HDS-knooppunt https://[HDS node IP of FQDN]/Setup in een webbrowser in, voer de beheerders gegevens in die u hebt ingesteld voor het knooppunt en klik vervolgens op aanmelden.

2

Ga naar vertrouwens archieven voor vertrouwde proxyen kies een optie:

  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaat update vereist.
  • Transparent Non-Inspecting Proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaat update vereist.
  • Proxy transparant inspecteren: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen wijzigingen in de HTTPS-configuratie nodig voor de implementatie van hybride data beveiliging, de HDS-knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).
  • Expliciete proxy: met expliciete proxy vertelt u de client (HDS-knooppunten) welke proxyserver moet worden gebruikt en deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
    1. Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.

    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.

    3. Proxyprotocol: kies http (toont en beheert alle verzoeken die zijn ontvangen van de client) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

    4. Verificatietype: kies uit de volgende verificatietypen:

      • Geen: geen verdere verificatie is vereist.

        Beschikbaar voor HTTP-of HTTPS-proxy's.

      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.

        Beschikbaar voor HTTP-of HTTPS-proxy's.

        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

        Alleen beschikbaar voor HTTPS-proxy's.

        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

Volg de volgende stappen voor een transparante inspectie proxy, een HTTP Explicit-proxy met basisverificatie of een HTTPS-expliciete proxy.

3

Klik op een hoofdcertificaat of eindentiteit certificaat uploadenen navigeer vervolgens naar een kies de hoofdcertificaat voor de proxy.

Het certificaat is geüpload, maar is nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijlpunt punthaak op de naam van de certificaatuitgever voor meer informatie of klik op verwijderen Als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

4

Klik op proxy verbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

Als de verbindingstest mislukt, wordt er een foutbericht weergegeven met de reden en hoe u het probleem kunt oplossen.

Als u een bericht ziet dat de externe DNS-omzetting niet is geslaagd, kan het knooppunt de DNS-server niet bereiken. Deze situatie wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de geblokkeerde externe DNS-omzettingsmodus. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u vervolgens Modus voor geblokkeerde externe DNS-resolutie uitschakelen.

5

Nadat de verbindingstest is geslaagd, voor expliciete proxy ingesteld op alleen https, schakelt u het in-/uitschakelen in om alle poort 443/444 HTTPS-aanvragen van dit knooppunt te routeren via de expliciete proxy. Deze instelling vereist 15 seconden om van kracht te worden.

6

Klik op alle certificaten installeren in het vertrouwde archief (wordt weergegeven voor een HTTPS-expliciete proxy of een transparante inspectie proxy) of opnieuw opstarten (wordt weergegeven voor een http-expliciete proxy), lees de prompt en klik vervolgens op installeren Als u klaar bent.

Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

7

Nadat het knooppunt opnieuw is opgestart, meldt u zich opnieuw aan indien nodig en opent u de overzichts pagina om te controleren of ze allemaal in de groene status zijn.

De controle van de proxyverbinding test alleen een subdomein van webex.com. Als er problemen zijn met de verbinding, is een veelvoorkomend probleem dat sommige Cloud domeinen die worden vermeld in de installatie-instructies, worden geblokkeerd op de proxy.

Het eerste knooppunt in het cluster registreren

Bij deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in De VM voor hybride databeveiliging instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd voor redundantie.

Voordat u begint

  • Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.

  • Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik op Instellen.

4

Klik op de pagina die wordt geopend op Een resource toevoegen.

5

Voer in het eerste veld van de kaart Een knooppunt toevoegen een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

We raden u aan een cluster een naam te geven op basis van de plaats waar de knooppunten van de cluster zich geografisch bevinden. Voorbeelden: "San Francisco", "New York" of "Dallas"

6

Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Toevoegen onderaan het scherm.

Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein die u hebt gebruikt in De VM voor hybride databeveiliging instellen.

Er wordt een bericht weergegeven dat aangeeft dat u uw knooppunt kunt registreren bij de Webex.
7

Klik op Naar knooppunt gaan.

Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.

8

Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
9

Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging Partnerhub.

Op de pagina Hybride databeveiliging wordt de nieuwe cluster met het knooppunt dat u hebt geregistreerd weergegeven onder het tabblad Resources . Het knooppunt downloadt automatisch de nieuwste software uit de cloud.

Meer knooppunten maken en registreren

Om extra knooppunten aan uw cluster toe te voegen, maakt u extra VM's en koppelt u hetzelfde ISO-configuratiebestand. Vervolgens registreert u het knooppunt. We raden aan dat u minimaal 3 knooppunten hebt.

Voordat u begint

  • Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.

  • Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

1

Maak een nieuwe virtuele machine van de OVA en herhaal de stappen in De HDS-host-OVA installeren.

2

Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De VM voor hybride databeveiliging instellen.

3

Herhaal op de nieuwe VM de stappen in De HDS-configuratie-ISO uploaden en koppelen.

4

Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Het HDS-knooppunt configureren voor proxyintegratie indien nodig voor het nieuwe knooppunt.

5

Registreer het knooppunt.

  1. Selecteer in https://admin.webex.comServices in het menu aan de linkerkant van het scherm.

  2. Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik op Alles weergeven.

    De pagina Resources hybride databeveiliging wordt weergegeven.
  3. Het nieuwe cluster wordt weergegeven op de pagina Resources .

  4. Klik op het cluster om de knooppunten weer te geven die aan het cluster zijn toegewezen.

  5. Klik op Een knooppunt toevoegen aan de rechterkant van het scherm.

  6. Voer het interne IP-adres of de volledig gekwalificeerde domeinnaam van uw knooppunt in en klik op Toevoegen.

    Er wordt een pagina geopend met een bericht dat aangeeft dat u uw knooppunt kunt registreren bij de Webex-cloud. Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging Partnerhub.

    Het pop-upbericht Knooppunt toegevoegd wordt ook onderaan het scherm in Partnerhub weergegeven.

    Uw knooppunt is geregistreerd.

Tenantorganisaties beheren voor hybride databeveiliging met meerdere tenants

HDS met meerdere tenants activeren in Partner Hub

Deze taak zorgt ervoor dat alle gebruikers van de klantorganisaties HDS kunnen gaan gebruiken voor lokale coderingssleutels en andere beveiligingsservices.

Voordat u begint

Zorg ervoor dat u het instellen van uw HDS-cluster met meerdere tenants hebt voltooid met het vereiste aantal knooppunten.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Instellingen bewerken.

4

Klik op HDS activeren op de kaart HDS-status .

Tenantorganisaties toevoegen in Partner Hub

In deze taak wijst u klantorganisaties toe aan uw cluster voor hybride databeveiliging.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Alles weergeven.

4

Klik op het cluster waaraan u wilt dat een klant wordt toegewezen.

5

Ga naar het tabblad Toegewezen klanten .

6

Klik op Klanten toevoegen.

7

Selecteer de klant die u wilt toevoegen in het vervolgkeuzemenu.

8

Klik op Toevoegen. De klant wordt aan het cluster toegevoegd.

9

Herhaal stap 6 tot en met 8 om meerdere klanten aan uw cluster toe te voegen.

10

Klik op Gereed onderaan het scherm zodra u de klanten hebt toegevoegd.

De volgende stappen

Voer de HDS-setuptool uit zoals beschreven in Hoofdsleutels voor klanten maken (CMK's) met de HDS-setuptool om het setupproces te voltooien.

Hoofdsleutels voor de klant maken met de HDS-setuptool

Voordat u begint

Wijs klanten toe aan het juiste cluster zoals beschreven in Tenantorganisaties toevoegen in Partner Hub. Voer de HDS-setuptool uit om het setupproces voor de nieuw toegevoegde klantorganisaties te voltooien.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Partnerhub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:

    • Aanmeldgegevens database

    • Certificaatupdates

    • Wijzigingen in autorisatiebeleid

  • Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Klik op de pagina ISO-import op Ja.

10

Selecteer uw ISO-bestand in de browser en upload het.

Zorg ervoor dat u verbinding hebt met uw database om CMK-beheer uit te voeren.
11

Ga naar het tabblad Tenant CMK-beheer . Hier vindt u de volgende drie manieren om tenant-CMK's te beheren.

  • CMK maken voor alle organisaties of CMK maken : klik op deze knop in de banner bovenaan het scherm om CMK's te maken voor alle nieuw toegevoegde organisaties.
  • Klik op de knop CMK's beheren aan de rechterkant van het scherm en klik op CMK's maken om CMK's te maken voor alle nieuw toegevoegde organisaties.
  • Klik op ... in de buurt van de status CMK-beheer in behandeling van een specifieke organisatie in de tabel en klik op CMK maken om CMK voor die organisatie te maken.
12

Wanneer het maken van CMK is gelukt, verandert de status in de tabel van CMK-beheer in behandeling in CMK beheerd.

13

Als het maken van CMK is mislukt, wordt een fout weergegeven.

Tenantorganisaties verwijderen

Voordat u begint

Na het verwijderen, kunnen gebruikers van klantorganisaties HDS niet meer gebruiken voor hun coderingsbehoeften en verliezen alle bestaande ruimten. Neem contact op met uw Cisco-partner of accountmanager voordat u klantorganisaties verwijdert.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Alles weergeven.

4

Klik op het tabblad Resources op het cluster waarvan u klantorganisaties wilt verwijderen.

5

Klik op de pagina die wordt geopend op Toegewezen klanten.

6

Klik in de lijst met klantorganisaties die worden weergegeven op ... aan de rechterkant van de klantorganisatie die u wilt verwijderen en klik op Verwijderen uit cluster.

De volgende stappen

Voltooi het verwijderingsproces door de CMK's van de klantorganisaties in te trekken, zoals beschreven in CMK's van tenants die zijn verwijderd uit HDS intrekken.

CMK's van tenants die zijn verwijderd uit HDS intrekken.

Voordat u begint

Verwijder klanten uit het juiste cluster zoals beschreven in Tenantorganisaties verwijderen. Voer de HDS-setuptool uit om het verwijderingsproces voor de klantorganisaties die zijn verwijderd te voltooien.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Partnerhub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:

    • Aanmeldgegevens database

    • Certificaatupdates

    • Wijzigingen in autorisatiebeleid

  • Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Klik op de pagina ISO-import op Ja.

10

Selecteer uw ISO-bestand in de browser en upload het.

11

Ga naar het tabblad Tenant CMK-beheer . Hier vindt u de volgende drie manieren om tenant-CMK's te beheren.

  • CMK intrekken voor alle organisaties of CMK intrekken - Klik op deze knop in de banner bovenaan het scherm om de CMK's van alle organisaties die zijn verwijderd in te trekken.
  • Klik op de knop CMK's beheren aan de rechterkant van het scherm en klik op CMK's intrekken om de CMK's van alle organisaties die zijn verwijderd in te trekken.
  • Klik op ... in de buurt van de CMK die moet worden ingetrokken status van een specifieke organisatie in de tabel en klik op CMK intrekken om CMK voor die specifieke organisatie in te trekken.
12

Wanneer CMK-intrekking is gelukt, wordt de klantorganisatie niet meer in de tabel weergegeven.

13

Als de CMK-intrekking mislukt, wordt een fout weergegeven.

Uw implementatie voor hybride databeveiliging testen

Uw implementatie van hybride databeveiliging testen

Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging met meerdere tenants te testen.

Voordat u begint

  • Stel uw implementatie voor hybride databeveiliging met meerdere tenants in.

  • Zorg ervoor dat u toegang hebt tot het syslog om te controleren of belangrijke verzoeken naar uw implementatie van hybride databeveiliging met meerdere tenants worden doorgegeven.

1

Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de gebruikers van de klantorganisatie en maak vervolgens een ruimte.

Als u de implementatie voor hybride databeveiliging deactiveert, is inhoud in ruimten die gebruikers maken niet meer toegankelijk zodra de kopieën in de cache van de client van de coderingssleutels zijn vervangen.

2

Verzend berichten naar de nieuwe ruimte.

3

Controleer de syslog-uitvoer om te verifiëren of de sleutelverzoeken naar uw implementatie voor hybride databeveiliging gaan.

  1. Als u wilt controleren of een gebruiker eerst een beveiligd kanaal naar de KMS instelt, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

    U vindt een vermelding als het volgende (identifiers shortened for readability):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_SLEUTEL_VERZAMELING, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. Als u wilt controleren of een gebruiker een bestaande sleutel van de KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. Als u wilt controleren of een gebruiker een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
  4. Als u wilt controleren of een gebruiker een nieuw KMS Resource Object (KRO) aanvraagt wanneer een omgeving of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hybride databeveiliging controleren

Een statusindicator in Partnerhub geeft aan of alles in orde is met de implementatie van hybride databeveiliging met meerdere tenants. Als u proactief belt, meldt u zich aan voor e-mailmeldingen. U wordt geïnformeerd wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
1

Selecteer in Partnerhub de optie Services in het menu aan de linkerkant van het scherm.

2

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Instellingen bewerken.

De pagina Instellingen hybride databeveiliging wordt weergegeven.
3

Typ in het gedeelte E-mailmeldingen een of meer door komma's gescheiden e-mailadressen en druk op Enter.

Uw HDS-implementatie beheren

HDS-implementatie beheren

Gebruik de taken die hier worden beschreven om uw implementatie van hybride databeveiliging te beheren.

Planning van clusterupgrade instellen

Software-upgrades voor hybride databeveiliging worden automatisch op clusterniveau uitgevoerd, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens de upgradeplanning voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie het cluster handmatig vóór het geplande tijdstip van de upgrade te upgraden. U kunt een specifiek upgradeschema instellen of het standaardschema gebruiken van 3:00 uur Dagelijks in de Verenigde Staten: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

De upgradeplanning instellen:

1

Meld u aan bij Partner Hub.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices hybride databeveiliging en klik op Instellen

4

Selecteer het cluster op de pagina Resources hybride databeveiliging.

5

Klik op het tabblad Clusterinstellingen .

6

Selecteer op de pagina Clusterinstellingen bij Upgradeplanning de tijd en tijdzone voor de upgradeplanning.

Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen tot de volgende dag door op 24 uur uitstellen te klikken.

De knooppuntconfiguratie wijzigen

Soms moet u de configuratie van uw knooppunt voor hybride databeveiliging wijzigen vanwege een bijvoorbeeld:
  • X.509-certificaten wijzigen vanwege vervaldatum of andere redenen.

    We ondersteunen het wijzigen van de CN-domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om de cluster te registreren.

  • Database-instellingen bijwerken om te wijzigen in een kopie van de PostgreSQL- of Microsoft SQL Server-database.

    We ondersteunen het migreren van gegevens van PostgreSQL naar Microsoft SQL Server niet, of op de omgekeerde manier. Als u wilt schakelen tussen de databaseomgevingen, moet u een nieuwe implementatie van hybride databeveiliging starten.

  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

Bovendien gebruikt Hybride databeveiliging voor beveiligingsdoeleinden wachtwoorden voor serviceaccounts die een levensduur van negen maanden hebben. Nadat de HDS-setuptool deze wachtwoorden heeft gegenereerd, implementeert u deze in uw HDS-knooppunten in het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een melding van het Webex-team om het wachtwoord voor uw machineaccount opnieuw in te stellen. (Het e-mailbericht bevat de tekst: 'Gebruik het machineaccount API om het wachtwoord bij te werken.') Als uw wachtwoord nog niet is verlopen, geeft de tool u twee opties:

  • Zachte reset: de oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO-bestand op de knooppunten stapsgewijs te vervangen.

  • Harde reset: de oude wachtwoorden werken niet direct meer.

Als uw wachtwoorden verlopen zonder opnieuw in te stellen, is dit van invloed op uw HDS-service, waarvoor onmiddellijke harde reset en vervanging van het ISO-bestand op alle knooppunten nodig is.

Gebruik deze procedure om een nieuw ISO-configuratiebestand te genereren en dit toe te passen op uw cluster.

Voordat u begint

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de referenties van een Partnerhub-account met volledige partnerbeheerdersrechten vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container in 1.e opent. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel voor de versleuteling van PostgreSQL of Microsoft SQL Server-database. U hebt de ISO nodig wanneer u configuratiewijzigingen aan aanbrengen, waaronder databasereferenties, certificaatupdates of wijzigingen aan autorisatiebeleid.

1

Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

  1. Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

    In normale omgevingen:

    docker rmi ciscocitg/hds-setup:stabiel

    In FedRAMP-omgevingen:

    docker rmi ciscocitg/hds-setup-fedramp:stabiel

    Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

  2. Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

    docker login -u hdscustomersro
  3. Voer bij de wachtwoordprompt deze hash in:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Download de nieuwste stabiele afbeelding voor uw omgeving:

    In normale omgevingen:

    docker pull ciscocitg/hds-setup:stabiel

    In FedRAMP-omgevingen:

    docker pull ciscocitg/hds-setup-fedramp:stabiel

    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 hebben niet de schermen voor het opnieuw instellen van wachtwoorden.

  5. Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

    • In normale omgevingen zonder proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • In normale omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In normale omgevingen met HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In FedRAMP-omgevingen zonder een proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.

    De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

  7. Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de klant van uw Partnerhub in en klikt u vervolgens op Accepteren om door te gaan.

  8. Importeer het huidige ISO-configuratiebestand.

  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

    Als u de setuptool wilt afsluiten, typt u CTRL+C.

  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

2

Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor hybride databeveiliging en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

  1. Installeer de HDS-host-OVA.

  2. Stel de HDS-VM in.

  3. Koppel het bijgewerkte configuratiebestand.

  4. Registreer het nieuwe knooppunt in Partnerhub.

3

Voor bestaande HDS-knooppunten waar het oudere configuratiebestand op wordt uitgevoerd, moet u het ISO-bestand onder brengen. Voer de volgende procedure uit op elk knooppunt. Werk elk knooppunt bij voordat u het volgende knooppunt uit schakelen:

  1. Schakel de virtuele machine uit.

  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  3. Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

  4. Schakel het selectievakje Verbinding maken na inschakelen in.

  5. Sla uw wijzigingen op en schakel de virtuele machine in.

4

Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

Geblokkeerde externe DNS-omzettingsmodus uitschakelen

Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. Als de DNS-server van het knooppunt geen publieke DNS-namen kan omzetten, wordt het knooppunt automatisch in de geblokkeerde externe DNS-omzettingsmodus geplaatst.

Als uw knooppunten publieke DNS-namen kunnen omzetten via interne DNS-servers, kunt u deze modus uitschakelen door de proxy verbindingstest opnieuw uit te voeren op elk knooppunt.

Voordat u begint

Zorg ervoor dat uw interne DNS-servers publieke DNS-namen kunnen omzetten en dat uw knooppunten met hen kunnen communiceren.
1

Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/setup, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt instelt en klik vervolgens op Aanmelden.

2

Ga naar overzicht (de standaardpagina).

Indien ingeschakeld, wordt de geblokkeerde externe DNS-omzetting ingesteld op Ja.

3

Ga naar de pagina vertrouwde winkel >-proxy .

4

Klik op proxy verbinding controleren.

Als er een bericht wordt weergegeven met de melding dat de externe DNS-omzetting niet is geslaagd, is het knooppunt niet in staat om de DNS-server te bereiken en blijft deze in deze modus. Anders moet de geblokkeerde externe DNS-omzetting worden ingesteld op Nee als u het knooppunt opnieuw hebt opgestart en teruggaat naar de overzichtspagina.

De volgende stappen

Herhaal de proxy verbindingstest op elk knooppunt in uw cluster voor hybride data beveiliging.

Een knooppunt verwijderen

Gebruik deze procedure om een knooppunt voor hybride databeveiliging te verwijderen uit de Webex-cloud. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
1

Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en schakel de virtuele machine uit.

2

Verwijder het knooppunt:

  1. Meld u aan bij Partnerhub en selecteer Services.

  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources hybride databeveiliging weer te geven.

  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

  4. Klik op het knooppunt dat u wilt verwijderen.

  5. Klik op Dit knooppunt afmelden in het deelvenster dat aan de rechterkant wordt weergegeven

  6. U kunt de registratie van het knooppunt ook ongedaan maken door te klikken op … aan de rechterkant van het knooppunt en Dit knooppunt verwijderen te selecteren.

3

Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

Als u de VM niet verwijdert, vergeet dan niet om het ISO-configuratiebestand te ontkoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken voor toegang tot uw beveiligingsgegevens.

Noodherstel met behulp van stand-bydatacenter

De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt om berichten en andere inhoud die is opgeslagen in de Webex-cloud te coderen. Voor elke gebruiker in de organisatie die is toegewezen aan hybride databeveiliging, worden aanvragen voor het maken van nieuwe sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de gemaakte sleutels aan alle gebruikers die bevoegd zijn om deze op te halen, bijvoorbeeld leden van een gespreksruimte.

Omdat het cluster de kritieke functie uitvoert voor het leveren van deze sleutels, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden onderhouden. Verlies van de database voor hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van klantinhoud. Om dergelijk verlies te voorkomen, zijn de volgende praktijken verplicht:

Als de HDS-implementatie in het primaire datacenter niet beschikbaar wordt door een ramp, volgt u deze procedure om handmatig failover naar het stand-bydatacenter te maken.

Voordat u begint

De registratie van alle knooppunten van Partnerhub ongedaan maken, zoals vermeld in Een knooppunt verwijderen. Gebruik het nieuwste ISO-bestand dat is geconfigureerd voor de knooppunten van het cluster dat eerder actief was, om de hieronder vermelde failoverprocedure uit te voeren.
1

Start de HDS-setuptool en volg de stappen die worden vermeld in Een configuratie-ISO voor de HDS-hosts maken.

2

Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

3

Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

4

Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

5

Klik op Instellingen bewerken >CD/DVD-station 1 en selecteer ISO-gegevensopslagbestand.

Zorg ervoor dat Verbonden en Verbinding maken bij inschakelen zijn ingeschakeld, zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

6

Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 15 minuten geen alarmen zijn.

7

Registreer het knooppunt in Partnerhub. Raadpleeg Het eerste knooppunt in het cluster registreren.

8

Herhaal het proces voor elk knooppunt in het stand-bydatacenter.

De volgende stappen

Als het primaire datacenter na failover weer actief wordt, verwijdert u de registratie van de knooppunten van het stand-bydatacenter en herhaalt u het proces van configuratie van de ISO en registratie van de knooppunten van het primaire datacenter, zoals hierboven vermeld.

(Optioneel) ISO ontkoppelen na HDS-configuratie

De standaard HDS-configuratie wordt uitgevoerd met de aangekoppelde ISO. Sommige klanten geven er echter de voorkeur aan dat ISO-bestanden niet continu worden gekoppeld. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

U gebruikt nog steeds de ISO-bestanden om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de setuptool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra alle knooppunten de configuratiewijzigingen hebben opgehaald, kunt u de ISO opnieuw loskoppelen met deze procedure.

Voordat u begint

Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

1

Sluit een van uw HDS-knooppunten af.

2

Selecteer het HDS-knooppunt in het vCenter Server Appliance.

3

Kies Instellingen bewerken > CD/DVD-station en schakel ISO-gegevensopslagbestand uit.

4

Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 20 minuten geen alarmen zijn.

5

Herhaal om de beurt voor elk HDS-knooppunt.

Problemen met hybride databeveiliging oplossen

Waarschuwingen weergeven en problemen oplossen

Een implementatie van Hybride databeveiliging wordt als niet beschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als de cluster zo langzaam werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

  • Er kunnen geen nieuwe ruimten worden gemaakt (kan geen nieuwe sleutels maken)

  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

    • Nieuwe gebruikers die aan een ruimte zijn toegevoegd (kunnen geen sleutels ophalen)

    • Bestaande gebruikers in een ruimte met een nieuwe client (kunnen geen sleutels ophalen)

  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

Het is belangrijk dat u uw cluster voor hybride databeveiliging goed controleert en alle waarschuwingen onmiddellijk adresseert om onderbreking van de service te voorkomen.

Waarschuwingen

Als er een probleem is met de configuratie van hybride databeveiliging, geeft Partnerhub waarschuwingen weer aan de organisatiebeheerder en verzendt u e-mails naar het geconfigureerde e-mailadres. De waarschuwingen behandelen veel algemene scenario's.

Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

Waarschuwen

Actie

Lokale databasetoegang mislukt.

Controleer op databasefouten of problemen met het lokale netwerk.

Verbinding met lokale database mislukt.

Controleer of de databaseserver beschikbaar is en of de juiste referenties van het serviceaccount zijn gebruikt in de knooppuntconfiguratie.

Toegang tot cloudservice mislukt.

Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Vereisten voor externe connectiviteit.

De registratie van cloudservice wordt verlengd.

Registratie bij cloudservices is verbroken. De registratie wordt verlengd.

Registratie van cloudservice verbroken.

Registratie bij cloudservices is beëindigd. Service wordt afgesloten.

Service nog niet geactiveerd.

HDS activeren in Partnerhub.

Het geconfigureerde domein komt niet overeen met het servercertificaat.

Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

De meest waarschijnlijke oorzaak is dat de algemene naam van het certificaat onlangs is gewijzigd en nu anders is dan de algemene naam die tijdens de eerste installatie is gebruikt.

Kan niet verifiëren bij cloudservices.

Controleer op de nauwkeurigheid en mogelijke vervaldatum van de referenties van het serviceaccount.

Openen van lokaal keystore-bestand is mislukt.

Controleer op integriteit en wachtwoordnauwkeurigheid in het lokale keystore-bestand.

Het lokale servercertificaat is ongeldig.

Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

Kan statistieken niet plaatsen.

Controleer de toegang van het lokale netwerk tot externe cloudservices.

De map /media/configdrive/hds bestaat niet.

Controleer de ISO-koppelconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om te koppelen bij opnieuw opstarten en of het met succes wordt gekoppeld.

De tenantorganisatie-instellingen zijn niet voltooid voor de toegevoegde organisaties

Voltooi de installatie door CMK's te maken voor nieuw toegevoegde tenantorganisaties met de HDS-setuptool.

De tenantorganisatie is niet voltooid voor de verwijderde organisaties

Voltooi de installatie door CMK's van tenantorganisaties die zijn verwijderd met de HDS-setuptool in te trekken.

Problemen met hybride databeveiliging oplossen

Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met Hybride databeveiliging.
1

Controleer Partnerhub voor waarschuwingen en los alle items op die u daar vindt. Zie de afbeelding hieronder ter referentie.

2

Controleer de uitvoer van de Syslog-server voor activiteit van de implementatie van hybride databeveiliging. Filter op woorden als 'Waarschuwing' en 'Fout' om problemen op te lossen.

3

Neem contact op met Cisco-ondersteuning.

Overige opmerkingen

Bekende problemen voor hybride databeveiliging

  • Als u uw cluster voor hybride databeveiliging afsluit (door deze te verwijderen in Partner Hub of door alle knooppunten te sluiten), uw ISO-configuratiebestand te verliezen of de toegang tot de keystore-database te verliezen, kunnen gebruikers van de Webex-app van klantorganisaties niet langer ruimten gebruiken onder hun lijst Personen die zijn gemaakt met sleutels van uw KMS. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en we verzoeken u dringend uw HDS-services niet te beëindigen zodra deze actieve gebruikersaccounts afhandelen.

  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een bepaalde tijd (waarschijnlijk één uur).

OpenSSL gebruiken om een PKCS12-bestand te genereren

Voordat u begint

  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS-setuptool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten de ene weg niet boven de andere.

  • Als u ervoor kiest OpenSSL te gebruiken, bieden we deze procedure als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

  • Maak een privésleutel.

  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificerende instantie (CA).

1

Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

2

Geef het certificaat weer als tekst en verifieer de details.

openssl x509 -text -noout -in hdsnode.pem

3

Gebruik een tekstverwerker om een certificaatbundelbestand met de naam hdsnode-bundle.pem te maken. Het bundelbestand moet het servercertificaat, eventuele tussenliggende CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

----BEGIN CERTIFICATE------ ### Servercertificaat. ### -----END CERTIFICATE----------BEGIN CERTIFICATE----- ### Tussenliggend CA-certificaat. ### ----END CERTIFICATE----------BEGIN CERTIFICATE----- ### Basis CA-certificaat. ### -----END CERTIFICATE-----

4

Maak het .p12-bestand met de beschrijvende naam kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -naam kms-private-key -caname kms-private-key -out hdsnode.p12

5

Controleer de details van het servercertificaat.

  1. openssl pkcs12 -in hdsnode.p12

  2. Voer bij de prompt een wachtwoord in om de privésleutel te coderen zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de regels bevatten friendlyName: kms-privésleutel.

    Voorbeeld:

    bash$ openssl pkcs12 -in hdsnode.p12 Voer importwachtwoord in: Mac heeft OK Bag Attributes geverifieerd friendlyName: kms-privésleutel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Sleutelkenmerken:  Voer de PEM-wachtwoordzin in: Verifiëren - Voer de PEM-wachtwoordzin in: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-privésleutel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

De volgende stappen

Keer terug naar Aan de vereisten voor hybride databeveiliging voldoen. U gebruikt het bestand hdsnode.p12 en het wachtwoord dat u ervoor hebt ingesteld in Een configuratie-ISO voor de HDS-hosts maken.

U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

Verkeer tussen de HDS-knooppunten en de cloud

Verzamelverkeer uitgaande statistieken

De knooppunten voor hybride databeveiliging verzenden bepaalde statistieken naar de Webex-cloud. Hieronder vallen systeemstatistieken voor max. heap, gebruikte heap, CPU-belasting en threadtelling; statistieken op synchrone en asynchrone threads; statistieken over waarschuwingen met een drempel voor coderingsverbindingen, latentie of een aanvraagwachtrijlengte; statistieken in de gegevensopslag; en statistieken voor coderingsverbinding. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (afzonderlijk van het verzoek) kanaal.

Inkomend verkeer

De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer van de Webex-cloud:

  • Coderingsverzoeken van clients, die door de coderingsservice worden gerouteerd

  • Upgrades van de knooppuntsoftware

Het configureren van inktvis-Proxy's voor hybride data beveiliging

WebSocket kan geen verbinding maken via de inktvis-proxy

Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:) verstoren die vereist zijn voor hybride databeveiliging. Deze secties bevatten leidraden voor het configureren van verschillende versies van inktvis om WSS te negeren: verkeer voor de juiste werking van de services.

Pijlinktvis 4 en 5

Voeg de on_unsupported_protocol richtlijn toe aan squid.conf:

on_unsupported_protocol alles tunnel

Inktvis 3.5.27

De hybride gegevensbeveiliging is getest met de volgende regels die zijn toegevoegd aan inktvis. conf. Deze regels kunnen worden gewijzigd wanneer we functies ontwikkelen en de Webex Cloud bijwerken.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl stap1 at_step SslBump1 acl stap2 at_step SslBump2 acl stap3 at_step SslBump3 ssl_bump bekijk stap1 alle ssl_bump staren stap2 alle ssl_bump bump stap3 alle

Nieuwe en gewijzigde informatie

Nieuwe en gewijzigde informatie

Deze tabel bevat nieuwe functies of functionaliteiten, wijzigingen in bestaande inhoud en belangrijke fouten die zijn opgelost in de Implementatiehandleiding voor hybride databeveiliging met meerdere tenants.

Datum

Wijzigingen aangebracht

30 januari 2025

SQL-serverversie 2022 toegevoegd aan de lijst met ondersteunde SQL-servers in Vereisten voor databaseserver.

15 januari 2025

Beperkingen van hybride databeveiliging met meerdere tenants toegevoegd.

8 januari 2025

Er is een opmerking toegevoegd in Eerste installatie uitvoeren en installatiebestanden downloaden waarin staat dat het klikken op Instellen op de HDS-kaart in Partner Hub een belangrijke stap is in het installatieproces.

7 januari 2025

Bijgewerkte vereisten voor virtuele host, taakstroom voor implementatie van hybride databeveiliging en installeer de HDS-host-OVA om de nieuwe ESXi 7.0-vereiste weer te geven.

13 december 2024

Eerst gepubliceerd.

Hybride databeveiliging met meerdere tenants deactiveren

Taakstroom voor deactivering van HDS met meerdere tenants

Volg deze stappen om HDS met meerdere tenants volledig te deactiveren.

Voordat u begint

Deze taak mag alleen worden uitgevoerd door een volledige partnerbeheerder.
1

Verwijder alle klanten uit al uw clusters, zoals vermeld in Tenantorganisaties verwijderen.

2

Trek de CMK's van alle klanten in, zoals vermeld in CMK's van tenants die zijn verwijderd uit HDS intrekken..

3

Verwijder alle knooppunten uit al uw clusters, zoals vermeld in Een knooppunt verwijderen.

4

Verwijder al uw clusters uit Partnerhub met een van de volgende twee methoden.

  • Klik op het cluster dat u wilt verwijderen en selecteer Dit cluster verwijderen in de rechterbovenhoek van de overzichtspagina.
  • Klik op de pagina Resources op ... aan de rechterkant van een cluster en selecteer Cluster verwijderen.
5

Klik op het tabblad Instellingen op de overzichtspagina Hybride databeveiliging en klik op HDS deactiveren op de HDS-statuskaart.

Aan de slag met hybride databeveiliging voor meerdere tenants

Overzicht van hybride databeveiliging met meerdere tenants

Vanaf dag één is gegevensbeveiliging de primaire focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end-inhoudscodering, ingeschakeld door clients van de Webex-app die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografiesleutels die clients gebruiken om berichten en bestanden dynamisch te coderen en te decoderen.

Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride databeveiliging verplaatst de KMS en andere beveiligingsgerelateerde functies naar uw bedrijfsdatacenter, dus niemand maar u beschikt over de sleutels voor uw gecodeerde inhoud.

Met Hybride databeveiliging voor meerdere tenants kunnen organisaties HDS gebruiken via een vertrouwde lokale partner, die kan optreden als serviceprovider en codering en andere beveiligingsservices op locatie kan beheren. Met deze instelling kan de partnerorganisatie volledige controle hebben over de implementatie en het beheer van coderingssleutels en zorgen ervoor dat gebruikersgegevens van klantorganisaties veilig zijn tegen externe toegang. Partnerorganisaties stellen HDS-instanties in en maken indien nodig HDS-clusters. Elk exemplaar kan meerdere klantorganisaties ondersteunen, in tegenstelling tot een reguliere HDS-implementatie die beperkt is tot één organisatie.

Hoewel partnerorganisaties de implementatie en het beheer onder controle hebben, hebben ze geen toegang tot gegevens en inhoud die door klanten zijn gegenereerd. Deze toegang is beperkt tot klantorganisaties en hun gebruikers.

Hierdoor kunnen kleinere organisaties ook HDS gebruiken, omdat sleutelbeheerservice en beveiligingsinfrastructuur zoals datacenters eigendom zijn van de vertrouwde lokale partner.

Hoe hybride databeveiliging met meerdere tenants gegevenssoevereiniteit en gegevenscontrole biedt

  • Door gebruikers gegenereerde inhoud wordt beschermd tegen externe toegang, zoals cloudserviceproviders.
  • Lokale vertrouwde partners beheren de coderingssleutels van klanten met wie ze al een bestaande relatie hebben.
  • Optie voor lokale technische ondersteuning, indien verstrekt door de partner.
  • Ondersteunt inhoud voor vergaderingen, berichten en gesprekken.

Dit document is bedoeld om partnerorganisaties te helpen bij het instellen en beheren van klanten onder een systeem voor hybride databeveiliging met meerdere tenants.

Beperkingen van hybride databeveiliging met meerdere tenants

  • Partnerorganisaties mogen geen bestaande HDS-implementatie actief hebben in Control Hub.
  • Tenant- of klantorganisaties die door een partner willen worden beheerd, mogen geen bestaande HDS-implementatie hebben in Control Hub.
  • Zodra Multi-tenant HDS door de partner is geïmplementeerd, gaan alle gebruikers van klantorganisaties en gebruikers van de partnerorganisatie gebruikmaken van Multi-tenant HDS voor hun coderingsservices.

    De partnerorganisatie en klantorganisaties die zij beheren, bevinden zich in dezelfde HDS-implementatie voor meerdere tenants.

    De partnerorganisatie gebruikt geen Cloud KMS meer nadat een multi-tenant-HDS is geïmplementeerd.

  • Er is geen mechanisme om sleutels terug te verplaatsen naar Cloud KMS na een HDS-implementatie.
  • Momenteel kan elke HDS-implementatie met meerdere tenants slechts één cluster hebben, met meerdere knooppunten eronder.
  • Beheerdersrollen hebben bepaalde beperkingen. Zie het onderstaande gedeelte voor meer informatie.

Rollen in hybride databeveiliging met meerdere tenants

  • Volledige partnerbeheerder : kan instellingen beheren voor alle klanten die de partner beheert. Kan ook beheerdersrollen toewijzen aan bestaande gebruikers in de organisatie en specifieke klanten toewijzen die moeten worden beheerd door partnerbeheerders.
  • Partnerbeheerder : kan instellingen beheren voor klanten die door de beheerder zijn ingericht of die aan de gebruiker zijn toegewezen.
  • Volledige beheerder - Beheerder van de partnerorganisatie die bevoegd is om taken uit te voeren zoals het wijzigen van organisatie-instellingen, het beheren van licenties en het toewijzen van rollen.
  • End-to-end installatie en beheer van alle klantorganisaties met meerdere tenants : volledige partnerbeheerder en volledige beheerdersrechten vereist.
  • Beheer van toegewezen tenantorganisaties : partnerbeheerders en volledige beheerdersrechten vereist.

Architectuur beveiligingsrealm

De Webex-cloudarchitectuur scheidt verschillende typen services in verschillende realms of vertrouwensdomeinen, zoals hieronder afgebeeld.

Gescheiden ruimten (zonder hybride databeveiliging)

Laten we voor meer informatie over hybride databeveiliging eerst naar deze pure cloudcase kijken, waarbij Cisco alle functies in zijn clouddomeinen biedt. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks gecorreleerd kunnen worden met hun persoonlijke informatie, zoals hun e-mailadres, staat logischerwijs en fysiek los van de beveiligingsruimte in datacenter B. Beide staan op hun beurt los van de ruimte waar gecodeerde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

In dit diagram is de client de Webex-app die op de laptop van een gebruiker wordt uitgevoerd en is de identiteitsservice geverifieerd. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

  1. De client brengt een beveiligde verbinding tot stand met de sleutelbeheerservice (KMS) en vraagt vervolgens een sleutel aan om het bericht te coderen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

  2. Het bericht wordt gecodeerd voordat het de client verlaat. De client verzendt deze naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

  3. Het gecodeerde bericht wordt naar de nalevingsservice verzonden voor nalevingscontroles.

  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

Wanneer u hybride databeveiliging implementeert, verplaatst u de functies van de beveiligingsregio (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de rijken van Cisco.

Samenwerken met andere organisaties

Gebruikers in uw organisatie kunnen regelmatig de Webex-app gebruiken om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, leidt uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS op te halen. Vervolgens stuurt u de sleutel terug naar uw gebruiker op het oorspronkelijke kanaal.

De KMS-service die op Organisatie A wordt uitgevoerd, valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat dat u wilt gebruiken met uw implementatie van hybride databeveiliging met meerdere tenants.

Verwachtingen voor het implementeren van hybride databeveiliging

Een implementatie van Hybride databeveiliging vereist aanzienlijke inzet en een besef van de risico's die verbonden zijn aan het bezitten van coderingssleutels.

Voor het implementeren van hybride databeveiliging moet u het volgende opgeven:

Volledig verlies van de configuratie-ISO die u voor hybride databeveiliging maakt of de database die u opgeeft, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers ruimte-inhoud en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar is alleen nieuwe inhoud zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

  • Beheer de back-up en het herstel van de database en de configuratie-ISO.

  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing van de databaseselectie of een ramp in een datacenter.

Er is geen mechanisme om sleutels terug naar de cloud te verplaatsen na een HDS-implementatie.

Installatieproces op hoog niveau

In dit document worden de installatie en het beheer van een implementatie van hybride databeveiliging met meerdere tenants behandeld:

  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het bouwen van een HDS-cluster, het toevoegen van tenantorganisaties aan de cluster en het beheren van hun Customer Main Keys (CMK's). Hiermee kunnen alle gebruikers van uw klantorganisaties uw cluster voor hybride databeveiliging gebruiken voor beveiligingsfuncties.

    De installatie-, activerings- en beheerfasen worden in detail behandeld in de volgende drie hoofdstukken.

  • Uw implementatie van hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch doorlopende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig contact opnemen met Cisco-ondersteuning. U kunt meldingen op het scherm gebruiken en waarschuwingen op basis van e-mail instellen in Partner Hub.

  • Algemene waarschuwingen, stappen voor het oplossen van problemen en bekende problemen begrijpen: als u problemen ondervindt met het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen bij het bepalen en oplossen van het probleem.

Implementatiemodel voor hybride databeveiliging

In uw bedrijfsdatacenter implementeert u hybride databeveiliging als een enkele cluster knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

Tijdens het installatieproces voorzien we u van het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt koppelt. Het cluster voor hybride databeveiliging gebruikt uw opgegeven Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de Syslogd- en databaseverbindingsgegevens in de HDS-setuptool.)

Implementatiemodel voor hybride databeveiliging

Het minimum aantal knooppunten dat u in een cluster kunt hebben, is twee. We raden ten minste drie per cluster aan. Het hebben van meerdere knooppunten zorgt ervoor dat de service niet wordt onderbroken tijdens een software-upgrade of andere onderhoudsactiviteiten op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

Alle knooppunten in een cluster hebben toegang tot dezelfde belangrijke gegevensopslag en logboekactiviteit tot dezelfde syslog-server. De knooppunten zelf zijn staatloos en handelen sleutelverzoeken af op ronde-robin-manier, zoals aangegeven door de cloud.

Knooppunten worden actief wanneer u ze registreert in Partner Hub. Als u een afzonderlijk knooppunt uit dienst wilt nemen, kunt u de registratie ongedaan maken en later indien nodig opnieuw registreren.

Stand-by-datacenter voor noodherstel

Tijdens de implementatie stelt u een beveiligd stand-by datacenter in. In het geval van een datacenterramp kunt u de implementatie handmatig naar het stand-bydatacenter mislukken.

Vóór de failover heeft Datacenter A actieve HDS-knooppunten en de primaire PostgreSQL- of Microsoft SQL-serverdatabase, terwijl B een kopie heeft van het ISO-bestand met aanvullende configuraties, VM's die bij de organisatie zijn geregistreerd en een stand-bydatabase. Na failover heeft datacenter B actieve HDS-knooppunten en de primaire database, terwijl A niet-geregistreerde VM's en een kopie van het ISO-bestand heeft en de database in de stand-bymodus staat.
Handmatig failover naar stand-bydatacenter

De databases van de actieve en stand-bydatacenters zijn gesynchroniseerd met elkaar, waardoor de tijd die nodig is om de failover uit te voeren, wordt geminimaliseerd.

De actieve knooppunten voor hybride databeveiliging moeten zich altijd in hetzelfde datacenter bevinden als de actieve databaseserver.

Proxy ondersteuning

Hybride gegevensbeveiliging biedt ondersteuning voor expliciete, transparante inspectie en het niet-geïnspecteerde proxy's. U kunt deze proxy's koppelen aan uw implementatie zodat u verkeer van de onderneming kunt beveiligen en controleren naar de Cloud. U kunt een platformbeheer interface gebruiken op de knooppunten voor certificaatbeheer en de algehele verbindingsstatus controleren nadat u de proxy op de knooppunten hebt ingesteld.

De knooppunten voor hybride data beveiliging ondersteunen de volgende proxy opties:

  • Geen proxy: de standaard als u het HDS-knooppunt niet gebruikt, stelt u de vertrouwensarchief- en proxyconfiguratie in om een proxy te integreren. Er is geen certificaat update vereist.

  • Transparante proxy zonder inspectie: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres en hoeven geen wijzigingen te vereisen om te werken met een proxy zonder inspectie. Er is geen certificaat update vereist.

  • Transparent tunneling of inspecting proxy: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres. Er zijn geen HTTP-of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).

  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welke proxyserver en verificatieschema moeten worden gebruikt. Als u een expliciete proxy wilt configureren, moet u op elk knooppunt de volgende informatie invoeren:

    1. Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.

    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.

    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

      • HTTP: alle aanvragen die de client verzendt, worden weergegeven en beheerd.

      • HTTPS: geeft een kanaal aan de server. De client ontvangt en valideert het certificaat van de server.

    4. Verificatietype: kies uit de volgende verificatietypen:

      • Geen: geen verdere verificatie is vereist.

        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.

        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

        Alleen beschikbaar als u HTTPS als proxy protocol selecteert.

        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

Voorbeeld van knooppunten en proxy voor hybride data beveiliging

Dit diagram toont een voorbeeld van een verbinding tussen de hybride gegevensbeveiliging, het netwerk en een proxy. Voor de instellingen voor transparant inspecteren en HTTPS expliciet controleren, moeten dezelfde hoofdcertificaat op de proxy en op de knooppunten voor hybride data beveiliging worden geïnstalleerd.

Geblokkeerde externe DNS-omzettingsmodus (expliciete proxy configuraties)

Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. In implementaties met expliciete proxyconfiguraties die geen externe DNS-omzetting voor interne clients toestaan, als het knooppunt de DNS-servers niet kan opvragen, wordt de geblokkeerde externe DNS-omzettingsmodus automatisch ingeschakeld. In deze modus kan de registratie van knooppunten en andere proxy connectiviteitstests worden voortgezet.

Uw omgeving voorbereiden

Vereisten voor hybride databeveiliging met meerdere tenants

Cisco Webex-licentievereisten

Hybride databeveiliging met meerdere tenants implementeren:

  • Partnerorganisaties: Neem contact op met uw Cisco-partner of accountmanager en zorg ervoor dat de functie voor meerdere tenants is ingeschakeld.

  • Tenantorganisaties: U moet het Pro-pakket voor Cisco Webex Control Hub hebben. (Zie https://www.cisco.com/go/pro-pack.)

X.509-certificaatvereisten

De certificaatketen moet aan de volgende vereisten voldoen:

Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

Vereiste

Details

  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

Standaard vertrouwen we de CA's in de lijst met Mozilla (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

  • Draagt een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

  • Is geen wildcardcertificaat

De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die overeenkomt met uw organisatie, bijvoorbeeld hds.bedrijf.com.

De algemene naam mag geen * (jokerteken) bevatten.

De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren naar Webex-app-clients. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

Wanneer u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam.

  • Niet-SHA1-handtekening

De KMS-software biedt geen ondersteuning voor SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

  • Opgemaakt als een met een wachtwoord beveiligd PKCS #12-bestand

  • Gebruik de beschrijvende naam kms-private-key om het certificaat, de privésleutel en eventuele aanvullende certificaten te taggen om te uploaden.

U kunt een conversieprogramma zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

U moet het wachtwoord invoeren wanneer u de HDS-setuptool uitvoert.

De KMS-software dwingt geen beperkingen op het sleutelgebruik of het uitgebreide sleutelgebruik af. Sommige certificeringsinstanties vereisen dat uitgebreide gebruiksbeperkingen voor elk certificaat worden toegepast, zoals serververificatie. Het is oké om de serververificatie of andere instellingen te gebruiken.

Vereisten voor virtuele host

De virtuele hosts die u als knooppunten voor hybride databeveiliging in uw cluster instelt, hebben de volgende vereisten:

  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich samen in hetzelfde beveiligde datacenter bevinden

  • VMware ESXi 7.0 (of hoger) is geïnstalleerd en wordt uitgevoerd.

    Als u een eerdere versie van ESXi hebt, moet u upgraden.

  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

Vereisten voor databaseserver

Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. De HDS-toepassingen maken na installatie het databaseschema.

Er zijn twee opties voor databaseserver. De vereisten voor elk ervan zijn als volgt:

Tabel 2. Vereisten voor databaseserver per type database

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

  • SQL Server 2016, 2017, 2019 of 2022 (Enterprise of Standaard) geïnstalleerd.

    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten)

Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten)

De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

PostgreSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

SQL Server JDBC-stuurprogramma 4.6

Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover-clusterinstanties en Always On-beschikbaarheidsgroepen).

Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

  • De HDS-knooppunten, de Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees- en schrijftoegang hebben tot de database.

  • De DNS-servers die u aan HDS-knooppunten verstrekt, moeten uw Key Distribution Center (KDC) kunnen oplossen.

  • U kunt het exemplaar van de HDS-database op uw Microsoft SQL-server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een hoofdnaam voor de service registreren voor Kerberos-verbindingen.

    De HDS-setuptool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de details uit uw ISO-configuratie om de SPN te maken wanneer ze toegang aanvragen met Kerberos-verificatie.

Vereisten voor externe connectiviteit

Configureer uw firewall om de volgende connectiviteit voor de HDS-toepassingen toe te staan:

Toepassing

Protocol

Poort

Richting vanuit app

Bestemming

Knooppunten voor hybride databeveiliging

TCP

443

Uitgaande HTTPS en WSS

  • Webex-servers:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-hosts

  • Andere URL's die voor hybride databeveiliging worden vermeld in de tabel Aanvullende URL's voor hybride Webex-services met Netwerkvereisten voor Webex-services

HDS-setuptool

TCP

443

Uitgaande HTTPS

  • *.wbx2.com

  • Alle Common Identity-hosts

  • hub.docker.com

De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de vorige tabel toestaat. Voor verbindingen die inkomend naar de knooppunten voor hybride databeveiliging gaan, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22 voor administratieve doeleinden.

De URL's voor de Common Identity-hosts (CI) zijn regiospecifiek. Dit zijn de huidige CI-hosts:

Regio

URL's van host van algemene identiteit

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europese Unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Verenigde Arabische Emiraten
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vereisten voor de proxy server

  • We ondersteunen de volgende proxy oplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride data beveiliging.

    • Transparante proxy: Cisco Web Security Appliance (WSA).

    • Expliciete proxy-pijlinktvis.

      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:) verstoren. Zie Squid-proxy's configureren voor hybride databeveiliging om dit probleem te omzeilen.

  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

    • Geen verificatie met HTTP of HTTPS

    • Basisverificatie met HTTP of HTTPS

    • Alleen verificatiesamenvatting met HTTPS

  • Voor een transparante inspectie proxy of een HTTPS-expliciete proxy moet u een kopie van de hoofdcertificaat van de proxy hebben. De implementatie-instructies in deze handleiding geven aan hoe u de kopie kunt uploaden naar de vertrouwens archieven van de hybride Data Security-knooppunten.

  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 af te ronden via de proxy.

  • Proxy's die het webverkeer controleren, kunnen de WebSocket-verbindingen belemmeren. Als dit probleem zich voordoet, kunt u het probleem oplossen door het verkeer niet te controleren op wbx2.com en ciscospark.com .

Voldoen aan de vereisten voor hybride databeveiliging

Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
1

Zorg ervoor dat uw partnerorganisatie de functie Multi-tenant HDS heeft ingeschakeld en haal de referenties op van een account met volledige partnerbeheerder en volledige beheerdersrechten. Zorg ervoor dat uw Webex-klantorganisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

Klantorganisaties mogen geen bestaande HDS-implementatie hebben.

2

Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

3

Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt minimaal twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter staan en die voldoen aan de vereisten in Vereisten voor virtuele hosts.

4

Bereid de databaseserver voor die fungeert als de belangrijkste gegevensopslag voor het cluster, volgens de Vereisten van de databaseserver. De databaseserver moet in het beveiligde datacenter samen met de virtuele hosts worden geplaatst.

  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik niet de standaarddatabase. De HDS-toepassingen maken na installatie het databaseschema.)

  2. Verzamel de details die de knooppunten gebruiken om te communiceren met de databaseserver:

    • de hostnaam of het IP-adres (host) en de poort

    • de naam van de database (dbname) voor sleutelopslag

    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de sleutelopslagdatabase

5

Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft waarop HDS-knooppunten worden uitgevoerd, moet de back-upomgeving 3 VM's hebben.

6

Stel een syslog-host in om logboeken van de knooppunten in het cluster te verzamelen. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

7

Maak een beveiligd back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.

Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die voor het coderen en decoderen van inhoud worden gebruikt, zal het niet onderhouden van een operationele implementatie leiden tot ONHERSTELBAAR VERLIES van die inhoud.

Webex-app-clients slaan hun sleutels in het cachegeheugen, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen onmogelijk te voorkomen zijn, zijn ze herstelbaar. Een volledig verlies (er zijn geen back-ups beschikbaar) van de database of het ISO-configuratiebestand zal echter resulteren in onherstelbare klantgegevens. Van de operatoren van de knooppunten voor hybride databeveiliging wordt verwacht dat ze frequente back-ups van de database en het ISO-configuratiebestand bijhouden en dat ze voorbereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als zich een catastrofale storing voordoet.

8

Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw knooppunten voor hybride databeveiliging mogelijk maakt, zoals beschreven in Vereisten voor externe connectiviteit.

9

Installeer Docker ( https://www.docker.com) op een lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft op http://127.0.0.1:8080.

U gebruikt de Docker-instantie om de HDS Setup Tool te downloaden en uit te voeren, waarmee de lokale configuratiegegevens voor alle knooppunten voor hybride databeveiliging worden opgebouwd. Mogelijk hebt u een Docker Desktop-licentie nodig. Zie Vereisten voor Docker-desktops voor meer informatie.

Als u de HDS-setuptool wilt installeren en uitvoeren, moet de lokale machine de verbinding hebben die wordt beschreven in Vereisten voor externe connectiviteit.

10

Als u een proxy integreert met hybride databeveiliging, moet u controleren of deze voldoet aan de vereisten voor de proxyserver.

Een cluster voor hybride databeveiliging instellen

Taakstroom implementatie hybride databeveiliging

Voordat u begint

1

Voer de eerste installatie uit en download installatiebestanden

Download het OVA-bestand naar uw lokale machine voor later gebruik.

2

Een configuratie-ISO voor de HDS-hosts maken

Gebruik de HDS-setuptool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

3

De HDS-host-OVA installeren

Maak een virtuele machine met het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.

De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 7.0. Deze optie is mogelijk niet beschikbaar in eerdere versies.

4

VM voor hybride databeveiliging instellen

Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

5

De HDS-configuratie-ISO uploaden en koppelen

Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-setuptool.

6

Configureer het HDS-knooppunt voor proxy-integratie

Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u het proxycertificaat indien nodig toe aan de vertrouwensopslag.

7

Het eerste knooppunt in het cluster registreren

Registreer de VM bij de Cisco Webex-cloud als knooppunt voor hybride databeveiliging.

8

Meer knooppunten maken en registreren

Voltooi de clustersetup.

9

Activeer HDS met meerdere tenants in Partner Hub.

Activeer HDS en beheer tenantorganisaties in Partner Hub.

Voer de eerste installatie uit en download installatiebestanden

In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). U kunt dit bestand later in het installatieproces gebruiken.

1

Meld u aan bij Partnerhub en klik vervolgens op Services.

2

Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik vervolgens op Instellen.

Het is essentieel voor het implementatieproces te klikken op Instellen in Partnerhub. Ga niet verder met de installatie zonder deze stap te voltooien.

3

Klik op Een resource toevoegen en klik op OVA-bestand downloaden op de kaart Software installeren en configureren .

Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de meest recente versie van het OVA-bestand downloadt.

U kunt de OVA ook op elk moment downloaden via het gedeelte Help . Klik op Instellingen > Help > Software voor hybride databeveiliging downloaden.

Het downloaden van het OVA-bestand wordt automatisch gestart. Sla het bestand op een locatie op uw computer op.
4

U kunt ook op Implementatiegids voor hybride databeveiliging bekijken klikken om te controleren of er een nieuwere versie van deze handleiding beschikbaar is.

Een configuratie-ISO voor de HDS-hosts maken

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

Voordat u begint

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Op de pagina ISO-import hebt u de volgende opties:

  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de blader en uploadt u het.
10

Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

  • Als u nog nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
  • Als uw certificaat OK is, klikt u op Doorgaan.
  • Als uw certificaat is verlopen of u het wilt vervangen, selecteert u Nee voor Doorgaan met het gebruik van de HDS-certificaatketen en privésleutel van vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
11

Voer het databaseadres en het account in voor HDS om toegang te krijgen tot uw belangrijke gegevensopslag:

  1. Selecteer uw databasetype (PostgreSQL of Microsoft SQL Server).

    Als u Microsoft SQL Server kiest, wordt het veld Verificatietype weergegeven.

  2. (Alleen Microsoft SQL-server ) Selecteer uw verificatietype:

    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam .

    • Windows-verificatie: U hebt een Windows-account nodig met de indeling gebruikersnaam@DOMEIN in het veld Gebruikersnaam .

  3. Voer het adres van de databaseserver in de vorm : of : in.

    Voorbeeld:
    dbhost.example.org:1433 of 198.51.100.17:1433

    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

  4. Voer de Databasenaam in.

  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten op de sleutelopslagdatabase.

12

Selecteer een TLS-databaseverbindingsmodus:

Mode

Beschrijving

Voorkeur geven aan TLS (standaardoptie)

HDS-knooppunten vereisen geen TLS om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

TLS verplichten

HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

TLS verplichten en certificaat ondertekenaar verifiëren

Deze modus is niet van toepassing op SQL Server-databases.

  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het Basiscertificaat van de database. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

TLS verplichten en certificaat ondertekenaar en hostnaam verifiëren

  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het Basiscertificaat van de database. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databashost en poort . De namen moeten exact overeenkomen, of de verbinding wordt door het knooppunt ingspunt laten merken.

Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-setuptool de TLS-verbinding met de databaseserver. De tool controleert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, wordt er een foutmelding weergegeven waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de machine van de HDS-setuptool deze niet kan testen.)

13

Configureer uw Syslogd-server op de pagina Systeemlogboeken:

  1. Voer de URL van de syslog-server in.

    Als de server niet door het DNS kan worden omgezet vanaf de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

    Voorbeeld:
    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij de Syslogd-host 10.92.43.23 op UDP-poort 514.
  2. Als u uw server zo instelt dat deze TLS-codering gebruikt, schakelt u het selectievakje Is uw syslog-server geconfigureerd voor SSL-codering? in.

    Als u dit selectievakje inschakelt, moet u een TCP-URL zoals tcp://10.92.43.23:514 invoeren.

  3. Kies in de vervolgkeuzelijst Syslog-record beëindigen kiezen de juiste instelling voor uw ISO-bestand: Kiezen of nieuwe lijn wordt gebruikt voor Graylog en Rsyslog TCP

    • Null byte -- \x00

    • Regeleinde -- \n: selecteer deze keuze voor Graylog en Rsyslog TCP.

  4. Klik op Doorgaan.

14

(Optioneel) U kunt de standaardwaarde voor sommige parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u mogelijk wilt wijzigen:

app_datasource_connection_pool_maxGrootte: 10
15

Klik op Doorgaan in het scherm Wachtwoord voor serviceaccounts herstellen .

Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u ze wilt herstellen om eerdere ISO-bestanden ongeldig te maken.

16

Klik op ISO-bestand downloaden. Sla het bestand op een eenvoudig te vinden locatie op.

17

Maak een back-up van het ISO-bestand op uw lokale systeem.

Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

18

Als u de setuptool wilt afsluiten, typt u CTRL+C.

De volgende stappen

Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten te maken voor herstel of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het is niet mogelijk om de sleutels te herstellen van uw PostgreSQL- of Microsoft SQL Server-database.

We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze verliest.

De HDS-host-OVA installeren

Gebruik deze procedure om een virtuele machine te maken van het OVA-bestand.
1

Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

2

Selecteer Bestand > OVF-sjabloon implementeren.

3

Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

4

Op de pagina Een naam en map selecteren voert u een naam van de virtuele machine in voor het knooppunt (bijvoorbeeld 'HDS_Node_1'), kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u op Volgende.

5

Kies op de pagina Een rekenresource selecteren de bestemming van de rekenresource en klik vervolgens op Volgende.

Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloongegevens weergegeven.

6

Controleer de sjabloongegevens en klik vervolgens op Volgende.

7

Als u wordt gevraagd de resourceneconfiguratie op de pagina Configuratie te kiezen, klikt u op 4 CPU en vervolgens op Volgende.

8

Klik op de pagina Opslag selecteren op Volgende om het standaard schijfindeling en het VM-opslagbeleid te accepteren.

9

Op de pagina Netwerken selecteren kiest u de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

10

Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen :

  • Hostnaam: voer de FQDN (hostnaam en domein) of een enkele woord hostnaam voor het knooppunt in.
    • U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

    • Gebruik alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld om een succesvolle registratie bij de cloud te garanderen. Hoofdletters worden momenteel niet ondersteund.

    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

  • IP-adres: voer het IP-adres in voor de interne interface van het knooppunt.

    Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

  • Masker: voer het adres van het subnetmasker in puntdecimale notatie in. Bijvoorbeeld 255.255.255.0.
  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat dienst doet als een toegangspunt naar een ander netwerk.
  • DNS-servers: voer een door komma's gescheiden lijst in met DNS-servers die domeinnamen naar numerieke IP-adressen vertalen. (Er zijn maximaal 4 DNS-vermeldingen toegestaan.)
  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die voor uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster voor administratieve doeleinden bereikbaar zijn vanaf clients in uw netwerk.

Indien gewenst kunt u de configuratie van de netwerkinstelling overslaan en de stappen volgen in De VM voor hybride databeveiliging instellen om de instellingen te configureren vanuit de knooppuntconsole.

De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 7.0. Deze optie is mogelijk niet beschikbaar in eerdere versies.

11

Klik met de rechtermuisknop op het knooppunt VM en kies Aan/uit > Inschakelen.

De software voor hybride databeveiliging wordt als gast geïnstalleerd op de VM-host. U bent nu klaar om u aan te melden bij de console en het knooppunt te configureren.

Tips voor probleemoplossing

U kunt een vertraging van enkele minuten ervaren voordat de knooppuntcontainers omhoog komen. Tijdens de eerste keer opstarten verschijnt een bridge-firewallbericht op de console, waarbij u zich niet kunt aanmelden.

VM voor hybride databeveiliging instellen

Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en om de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

1

Selecteer in de VMware vSphere-client de VM van uw knooppunt voor hybride databeveiliging en het tabblad Console .

De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldingsprompt niet wordt weergegeven, drukt u op Enter.
2

Gebruik de volgende standaardaanmeldgegevens en -wachtwoorden om u aan te melden en de aanmeldgegevens te wijzigen:

  1. Aanmelden: beheer

  2. Wachtwoord: Cisco

Aangezien u zich voor de eerste keer bij uw VM aanmeldt, moet u het beheerderswachtwoord wijzigen.

3

Als u de netwerkinstellingen al hebt geconfigureerd in De HDS-host-OVA installeren, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken .

4

Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

5

(Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om overeen te stemmen met uw netwerkbeleid.

U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

6

Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen worden doorgevoerd.

De HDS-configuratie-ISO uploaden en koppelen

Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-setuptool.

Voordat u begint

Omdat het ISO-bestand de hoofdsleutel bevat, mag deze alleen worden weergegeven op een 'need to know'-basis, voor toegang door de VM's van hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen deze beheerders toegang hebben tot de gegevensopslag.

1

Upload het ISO-bestand vanaf uw computer:

  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

  2. Klik op de lijst Hardware van het tabblad Configuratie op Opslag.

  3. Klik in de lijst Gegevensopslag met de rechtermuisknop op de gegevensopslag voor uw VM's en klik op Gegevensopslag bladeren.

  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

  6. Klik op Ja om de waarschuwing voor het uploaden/downloaden te accepteren en sluit het dialoogvenster Gegevensopslag.

2

Koppel het ISO-bestand:

  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  2. Klik op OK om de waarschuwing met beperkte bewerkingsopties te accepteren.

  3. Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanuit een ISO-bestand van de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

  4. Schakel Verbonden en Verbinding maken na inschakelen in.

  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

De volgende stappen

Als uw IT-beleid dat vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (optioneel) ISO ontkoppelen na HDS-configuratie voor meer informatie.

Configureer het HDS-knooppunt voor proxy-integratie

Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride gegevensbeveiliging. Als u een transparante inspectering proxy of een HTTPS-expliciete proxy kiest, kunt u de interface van het knooppunt gebruiken om de hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding vanuit de interface controleren en mogelijke problemen oplossen.

Voordat u begint

1

Voer de installatie-URL van het HDS-knooppunt https://[HDS node IP of FQDN]/Setup in een webbrowser in, voer de beheerders gegevens in die u hebt ingesteld voor het knooppunt en klik vervolgens op aanmelden.

2

Ga naar vertrouwens archieven voor vertrouwde proxyen kies een optie:

  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaat update vereist.
  • Transparent Non-Inspecting Proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaat update vereist.
  • Proxy transparant inspecteren: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen wijzigingen in de HTTPS-configuratie nodig voor de implementatie van hybride data beveiliging, de HDS-knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).
  • Expliciete proxy: met expliciete proxy vertelt u de client (HDS-knooppunten) welke proxyserver moet worden gebruikt en deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
    1. Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.

    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.

    3. Proxyprotocol: kies http (toont en beheert alle verzoeken die zijn ontvangen van de client) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

    4. Verificatietype: kies uit de volgende verificatietypen:

      • Geen: geen verdere verificatie is vereist.

        Beschikbaar voor HTTP-of HTTPS-proxy's.

      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.

        Beschikbaar voor HTTP-of HTTPS-proxy's.

        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

        Alleen beschikbaar voor HTTPS-proxy's.

        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

Volg de volgende stappen voor een transparante inspectie proxy, een HTTP Explicit-proxy met basisverificatie of een HTTPS-expliciete proxy.

3

Klik op een hoofdcertificaat of eindentiteit certificaat uploadenen navigeer vervolgens naar een kies de hoofdcertificaat voor de proxy.

Het certificaat is geüpload, maar is nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijlpunt punthaak op de naam van de certificaatuitgever voor meer informatie of klik op verwijderen Als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

4

Klik op proxy verbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

Als de verbindingstest mislukt, wordt er een foutbericht weergegeven met de reden en hoe u het probleem kunt oplossen.

Als u een bericht ziet dat de externe DNS-omzetting niet is geslaagd, kan het knooppunt de DNS-server niet bereiken. Deze situatie wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de geblokkeerde externe DNS-omzettingsmodus. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u vervolgens Modus voor geblokkeerde externe DNS-resolutie uitschakelen.

5

Nadat de verbindingstest is geslaagd, voor expliciete proxy ingesteld op alleen https, schakelt u het in-/uitschakelen in om alle poort 443/444 HTTPS-aanvragen van dit knooppunt te routeren via de expliciete proxy. Deze instelling vereist 15 seconden om van kracht te worden.

6

Klik op alle certificaten installeren in het vertrouwde archief (wordt weergegeven voor een HTTPS-expliciete proxy of een transparante inspectie proxy) of opnieuw opstarten (wordt weergegeven voor een http-expliciete proxy), lees de prompt en klik vervolgens op installeren Als u klaar bent.

Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

7

Nadat het knooppunt opnieuw is opgestart, meldt u zich opnieuw aan indien nodig en opent u de overzichts pagina om te controleren of ze allemaal in de groene status zijn.

De controle van de proxyverbinding test alleen een subdomein van webex.com. Als er problemen zijn met de verbinding, is een veelvoorkomend probleem dat sommige Cloud domeinen die worden vermeld in de installatie-instructies, worden geblokkeerd op de proxy.

Het eerste knooppunt in het cluster registreren

Bij deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in De VM voor hybride databeveiliging instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd voor redundantie.

Voordat u begint

  • Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.

  • Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik op Instellen.

4

Klik op de pagina die wordt geopend op Een resource toevoegen.

5

Voer in het eerste veld van de kaart Een knooppunt toevoegen een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

We raden u aan een cluster een naam te geven op basis van de plaats waar de knooppunten van de cluster zich geografisch bevinden. Voorbeelden: "San Francisco", "New York" of "Dallas"

6

Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Toevoegen onderaan het scherm.

Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein die u hebt gebruikt in De VM voor hybride databeveiliging instellen.

Er wordt een bericht weergegeven dat aangeeft dat u uw knooppunt kunt registreren bij de Webex.
7

Klik op Naar knooppunt gaan.

Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.

8

Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
9

Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging Partnerhub.

Op de pagina Hybride databeveiliging wordt de nieuwe cluster met het knooppunt dat u hebt geregistreerd weergegeven onder het tabblad Resources . Het knooppunt downloadt automatisch de nieuwste software uit de cloud.

Meer knooppunten maken en registreren

Om extra knooppunten aan uw cluster toe te voegen, maakt u extra VM's en koppelt u hetzelfde ISO-configuratiebestand. Vervolgens registreert u het knooppunt. We raden aan dat u minimaal 3 knooppunten hebt.

Voordat u begint

  • Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.

  • Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

1

Maak een nieuwe virtuele machine van de OVA en herhaal de stappen in De HDS-host-OVA installeren.

2

Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De VM voor hybride databeveiliging instellen.

3

Herhaal op de nieuwe VM de stappen in De HDS-configuratie-ISO uploaden en koppelen.

4

Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Het HDS-knooppunt configureren voor proxyintegratie indien nodig voor het nieuwe knooppunt.

5

Registreer het knooppunt.

  1. Selecteer in https://admin.webex.comServices in het menu aan de linkerkant van het scherm.

  2. Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik op Alles weergeven.

    De pagina Resources hybride databeveiliging wordt weergegeven.
  3. Het nieuwe cluster wordt weergegeven op de pagina Resources .

  4. Klik op het cluster om de knooppunten weer te geven die aan het cluster zijn toegewezen.

  5. Klik op Een knooppunt toevoegen aan de rechterkant van het scherm.

  6. Voer het interne IP-adres of de volledig gekwalificeerde domeinnaam van uw knooppunt in en klik op Toevoegen.

    Er wordt een pagina geopend met een bericht dat aangeeft dat u uw knooppunt kunt registreren bij de Webex-cloud. Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging Partnerhub.

    Het pop-upbericht Knooppunt toegevoegd wordt ook onderaan het scherm in Partnerhub weergegeven.

    Uw knooppunt is geregistreerd.

Tenantorganisaties beheren voor hybride databeveiliging met meerdere tenants

HDS met meerdere tenants activeren in Partner Hub

Deze taak zorgt ervoor dat alle gebruikers van de klantorganisaties HDS kunnen gaan gebruiken voor lokale coderingssleutels en andere beveiligingsservices.

Voordat u begint

Zorg ervoor dat u het instellen van uw HDS-cluster met meerdere tenants hebt voltooid met het vereiste aantal knooppunten.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Instellingen bewerken.

4

Klik op HDS activeren op de kaart HDS-status .

Tenantorganisaties toevoegen in Partner Hub

In deze taak wijst u klantorganisaties toe aan uw cluster voor hybride databeveiliging.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Alles weergeven.

4

Klik op het cluster waaraan u wilt dat een klant wordt toegewezen.

5

Ga naar het tabblad Toegewezen klanten .

6

Klik op Klanten toevoegen.

7

Selecteer de klant die u wilt toevoegen in het vervolgkeuzemenu.

8

Klik op Toevoegen. De klant wordt aan het cluster toegevoegd.

9

Herhaal stap 6 tot en met 8 om meerdere klanten aan uw cluster toe te voegen.

10

Klik op Gereed onderaan het scherm zodra u de klanten hebt toegevoegd.

De volgende stappen

Voer de HDS-setuptool uit zoals beschreven in Hoofdsleutels voor klanten maken (CMK's) met de HDS-setuptool om het setupproces te voltooien.

Hoofdsleutels voor de klant maken met de HDS-setuptool

Voordat u begint

Wijs klanten toe aan het juiste cluster zoals beschreven in Tenantorganisaties toevoegen in Partner Hub. Voer de HDS-setuptool uit om het setupproces voor de nieuw toegevoegde klantorganisaties te voltooien.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Partnerhub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:

    • Aanmeldgegevens database

    • Certificaatupdates

    • Wijzigingen in autorisatiebeleid

  • Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Klik op de pagina ISO-import op Ja.

10

Selecteer uw ISO-bestand in de browser en upload het.

Zorg ervoor dat u verbinding hebt met uw database om CMK-beheer uit te voeren.
11

Ga naar het tabblad Tenant CMK-beheer . Hier vindt u de volgende drie manieren om tenant-CMK's te beheren.

  • CMK maken voor alle organisaties of CMK maken : klik op deze knop in de banner bovenaan het scherm om CMK's te maken voor alle nieuw toegevoegde organisaties.
  • Klik op de knop CMK's beheren aan de rechterkant van het scherm en klik op CMK's maken om CMK's te maken voor alle nieuw toegevoegde organisaties.
  • Klik op ... in de buurt van de status CMK-beheer in behandeling van een specifieke organisatie in de tabel en klik op CMK maken om CMK voor die organisatie te maken.
12

Wanneer het maken van CMK is gelukt, verandert de status in de tabel van CMK-beheer in behandeling in CMK beheerd.

13

Als het maken van CMK is mislukt, wordt een fout weergegeven.

Tenantorganisaties verwijderen

Voordat u begint

Na het verwijderen, kunnen gebruikers van klantorganisaties HDS niet meer gebruiken voor hun coderingsbehoeften en verliezen alle bestaande ruimten. Neem contact op met uw Cisco-partner of accountmanager voordat u klantorganisaties verwijdert.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Alles weergeven.

4

Klik op het tabblad Resources op het cluster waarvan u klantorganisaties wilt verwijderen.

5

Klik op de pagina die wordt geopend op Toegewezen klanten.

6

Klik in de lijst met klantorganisaties die worden weergegeven op ... aan de rechterkant van de klantorganisatie die u wilt verwijderen en klik op Verwijderen uit cluster.

De volgende stappen

Voltooi het verwijderingsproces door de CMK's van de klantorganisaties in te trekken, zoals beschreven in CMK's van tenants die zijn verwijderd uit HDS intrekken.

CMK's van tenants die zijn verwijderd uit HDS intrekken.

Voordat u begint

Verwijder klanten uit het juiste cluster zoals beschreven in Tenantorganisaties verwijderen. Voer de HDS-setuptool uit om het verwijderingsproces voor de klantorganisaties die zijn verwijderd te voltooien.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Partnerhub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:

    • Aanmeldgegevens database

    • Certificaatupdates

    • Wijzigingen in autorisatiebeleid

  • Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Klik op de pagina ISO-import op Ja.

10

Selecteer uw ISO-bestand in de browser en upload het.

11

Ga naar het tabblad Tenant CMK-beheer . Hier vindt u de volgende drie manieren om tenant-CMK's te beheren.

  • CMK intrekken voor alle organisaties of CMK intrekken - Klik op deze knop in de banner bovenaan het scherm om de CMK's van alle organisaties die zijn verwijderd in te trekken.
  • Klik op de knop CMK's beheren aan de rechterkant van het scherm en klik op CMK's intrekken om de CMK's van alle organisaties die zijn verwijderd in te trekken.
  • Klik op ... in de buurt van de CMK die moet worden ingetrokken status van een specifieke organisatie in de tabel en klik op CMK intrekken om CMK voor die specifieke organisatie in te trekken.
12

Wanneer CMK-intrekking is gelukt, wordt de klantorganisatie niet meer in de tabel weergegeven.

13

Als de CMK-intrekking mislukt, wordt een fout weergegeven.

Uw implementatie voor hybride databeveiliging testen

Uw implementatie van hybride databeveiliging testen

Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging met meerdere tenants te testen.

Voordat u begint

  • Stel uw implementatie voor hybride databeveiliging met meerdere tenants in.

  • Zorg ervoor dat u toegang hebt tot het syslog om te controleren of belangrijke verzoeken naar uw implementatie van hybride databeveiliging met meerdere tenants worden doorgegeven.

1

Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de gebruikers van de klantorganisatie en maak vervolgens een ruimte.

Als u de implementatie voor hybride databeveiliging deactiveert, is inhoud in ruimten die gebruikers maken niet meer toegankelijk zodra de kopieën in de cache van de client van de coderingssleutels zijn vervangen.

2

Verzend berichten naar de nieuwe ruimte.

3

Controleer de syslog-uitvoer om te verifiëren of de sleutelverzoeken naar uw implementatie voor hybride databeveiliging gaan.

  1. Als u wilt controleren of een gebruiker eerst een beveiligd kanaal naar de KMS instelt, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

    U vindt een vermelding als het volgende (identifiers shortened for readability):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_SLEUTEL_VERZAMELING, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. Als u wilt controleren of een gebruiker een bestaande sleutel van de KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. Als u wilt controleren of een gebruiker een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
  4. Als u wilt controleren of een gebruiker een nieuw KMS Resource Object (KRO) aanvraagt wanneer een omgeving of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hybride databeveiliging controleren

Een statusindicator in Partnerhub geeft aan of alles in orde is met de implementatie van hybride databeveiliging met meerdere tenants. Als u proactief belt, meldt u zich aan voor e-mailmeldingen. U wordt geïnformeerd wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
1

Selecteer in Partnerhub de optie Services in het menu aan de linkerkant van het scherm.

2

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Instellingen bewerken.

De pagina Instellingen hybride databeveiliging wordt weergegeven.
3

Typ in het gedeelte E-mailmeldingen een of meer door komma's gescheiden e-mailadressen en druk op Enter.

Uw HDS-implementatie beheren

HDS-implementatie beheren

Gebruik de taken die hier worden beschreven om uw implementatie van hybride databeveiliging te beheren.

Planning van clusterupgrade instellen

Software-upgrades voor hybride databeveiliging worden automatisch op clusterniveau uitgevoerd, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens de upgradeplanning voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie het cluster handmatig vóór het geplande tijdstip van de upgrade te upgraden. U kunt een specifiek upgradeschema instellen of het standaardschema gebruiken van 3:00 uur Dagelijks in de Verenigde Staten: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

De upgradeplanning instellen:

1

Meld u aan bij Partner Hub.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices hybride databeveiliging en klik op Instellen

4

Selecteer het cluster op de pagina Resources hybride databeveiliging.

5

Klik op het tabblad Clusterinstellingen .

6

Selecteer op de pagina Clusterinstellingen bij Upgradeplanning de tijd en tijdzone voor de upgradeplanning.

Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen tot de volgende dag door op 24 uur uitstellen te klikken.

De knooppuntconfiguratie wijzigen

Soms moet u de configuratie van uw knooppunt voor hybride databeveiliging wijzigen vanwege een bijvoorbeeld:
  • X.509-certificaten wijzigen vanwege vervaldatum of andere redenen.

    We ondersteunen het wijzigen van de CN-domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om de cluster te registreren.

  • Database-instellingen bijwerken om te wijzigen in een kopie van de PostgreSQL- of Microsoft SQL Server-database.

    We ondersteunen het migreren van gegevens van PostgreSQL naar Microsoft SQL Server niet, of op de omgekeerde manier. Als u wilt schakelen tussen de databaseomgevingen, moet u een nieuwe implementatie van hybride databeveiliging starten.

  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

Bovendien gebruikt Hybride databeveiliging voor beveiligingsdoeleinden wachtwoorden voor serviceaccounts die een levensduur van negen maanden hebben. Nadat de HDS-setuptool deze wachtwoorden heeft gegenereerd, implementeert u deze in uw HDS-knooppunten in het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een melding van het Webex-team om het wachtwoord voor uw machineaccount opnieuw in te stellen. (Het e-mailbericht bevat de tekst: 'Gebruik het machineaccount API om het wachtwoord bij te werken.') Als uw wachtwoord nog niet is verlopen, geeft de tool u twee opties:

  • Zachte reset: de oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO-bestand op de knooppunten stapsgewijs te vervangen.

  • Harde reset: de oude wachtwoorden werken niet direct meer.

Als uw wachtwoorden verlopen zonder opnieuw in te stellen, is dit van invloed op uw HDS-service, waarvoor onmiddellijke harde reset en vervanging van het ISO-bestand op alle knooppunten nodig is.

Gebruik deze procedure om een nieuw ISO-configuratiebestand te genereren en dit toe te passen op uw cluster.

Voordat u begint

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de referenties van een Partnerhub-account met volledige partnerbeheerdersrechten vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container in 1.e opent. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel voor de versleuteling van PostgreSQL of Microsoft SQL Server-database. U hebt de ISO nodig wanneer u configuratiewijzigingen aan aanbrengen, waaronder databasereferenties, certificaatupdates of wijzigingen aan autorisatiebeleid.

1

Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

  1. Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

    In normale omgevingen:

    docker rmi ciscocitg/hds-setup:stabiel

    In FedRAMP-omgevingen:

    docker rmi ciscocitg/hds-setup-fedramp:stabiel

    Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

  2. Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

    docker login -u hdscustomersro
  3. Voer bij de wachtwoordprompt deze hash in:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Download de nieuwste stabiele afbeelding voor uw omgeving:

    In normale omgevingen:

    docker pull ciscocitg/hds-setup:stabiel

    In FedRAMP-omgevingen:

    docker pull ciscocitg/hds-setup-fedramp:stabiel

    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 hebben niet de schermen voor het opnieuw instellen van wachtwoorden.

  5. Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

    • In normale omgevingen zonder proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • In normale omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In normale omgevingen met HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In FedRAMP-omgevingen zonder een proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.

    De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

  7. Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de klant van uw Partnerhub in en klikt u vervolgens op Accepteren om door te gaan.

  8. Importeer het huidige ISO-configuratiebestand.

  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

    Als u de setuptool wilt afsluiten, typt u CTRL+C.

  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

2

Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor hybride databeveiliging en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

  1. Installeer de HDS-host-OVA.

  2. Stel de HDS-VM in.

  3. Koppel het bijgewerkte configuratiebestand.

  4. Registreer het nieuwe knooppunt in Partnerhub.

3

Voor bestaande HDS-knooppunten waar het oudere configuratiebestand op wordt uitgevoerd, moet u het ISO-bestand onder brengen. Voer de volgende procedure uit op elk knooppunt. Werk elk knooppunt bij voordat u het volgende knooppunt uit schakelen:

  1. Schakel de virtuele machine uit.

  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  3. Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

  4. Schakel het selectievakje Verbinding maken na inschakelen in.

  5. Sla uw wijzigingen op en schakel de virtuele machine in.

4

Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

Geblokkeerde externe DNS-omzettingsmodus uitschakelen

Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. Als de DNS-server van het knooppunt geen publieke DNS-namen kan omzetten, wordt het knooppunt automatisch in de geblokkeerde externe DNS-omzettingsmodus geplaatst.

Als uw knooppunten publieke DNS-namen kunnen omzetten via interne DNS-servers, kunt u deze modus uitschakelen door de proxy verbindingstest opnieuw uit te voeren op elk knooppunt.

Voordat u begint

Zorg ervoor dat uw interne DNS-servers publieke DNS-namen kunnen omzetten en dat uw knooppunten met hen kunnen communiceren.
1

Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/setup, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt instelt en klik vervolgens op Aanmelden.

2

Ga naar overzicht (de standaardpagina).

Indien ingeschakeld, wordt de geblokkeerde externe DNS-omzetting ingesteld op Ja.

3

Ga naar de pagina vertrouwde winkel >-proxy .

4

Klik op proxy verbinding controleren.

Als er een bericht wordt weergegeven met de melding dat de externe DNS-omzetting niet is geslaagd, is het knooppunt niet in staat om de DNS-server te bereiken en blijft deze in deze modus. Anders moet de geblokkeerde externe DNS-omzetting worden ingesteld op Nee als u het knooppunt opnieuw hebt opgestart en teruggaat naar de overzichtspagina.

De volgende stappen

Herhaal de proxy verbindingstest op elk knooppunt in uw cluster voor hybride data beveiliging.

Een knooppunt verwijderen

Gebruik deze procedure om een knooppunt voor hybride databeveiliging te verwijderen uit de Webex-cloud. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
1

Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en schakel de virtuele machine uit.

2

Verwijder het knooppunt:

  1. Meld u aan bij Partnerhub en selecteer Services.

  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources hybride databeveiliging weer te geven.

  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

  4. Klik op het knooppunt dat u wilt verwijderen.

  5. Klik op Dit knooppunt afmelden in het deelvenster dat aan de rechterkant wordt weergegeven

  6. U kunt de registratie van het knooppunt ook ongedaan maken door te klikken op … aan de rechterkant van het knooppunt en Dit knooppunt verwijderen te selecteren.

3

Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

Als u de VM niet verwijdert, vergeet dan niet om het ISO-configuratiebestand te ontkoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken voor toegang tot uw beveiligingsgegevens.

Noodherstel met behulp van stand-bydatacenter

De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt om berichten en andere inhoud die is opgeslagen in de Webex-cloud te coderen. Voor elke gebruiker in de organisatie die is toegewezen aan hybride databeveiliging, worden aanvragen voor het maken van nieuwe sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de gemaakte sleutels aan alle gebruikers die bevoegd zijn om deze op te halen, bijvoorbeeld leden van een gespreksruimte.

Omdat het cluster de kritieke functie uitvoert voor het leveren van deze sleutels, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden onderhouden. Verlies van de database voor hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van klantinhoud. Om dergelijk verlies te voorkomen, zijn de volgende praktijken verplicht:

Als de HDS-implementatie in het primaire datacenter niet beschikbaar wordt door een ramp, volgt u deze procedure om handmatig failover naar het stand-bydatacenter te maken.

Voordat u begint

De registratie van alle knooppunten van Partnerhub ongedaan maken, zoals vermeld in Een knooppunt verwijderen. Gebruik het nieuwste ISO-bestand dat is geconfigureerd voor de knooppunten van het cluster dat eerder actief was, om de hieronder vermelde failoverprocedure uit te voeren.
1

Start de HDS-setuptool en volg de stappen die worden vermeld in Een configuratie-ISO voor de HDS-hosts maken.

2

Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

3

Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

4

Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

5

Klik op Instellingen bewerken >CD/DVD-station 1 en selecteer ISO-gegevensopslagbestand.

Zorg ervoor dat Verbonden en Verbinding maken bij inschakelen zijn ingeschakeld, zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

6

Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 15 minuten geen alarmen zijn.

7

Registreer het knooppunt in Partnerhub. Raadpleeg Het eerste knooppunt in het cluster registreren.

8

Herhaal het proces voor elk knooppunt in het stand-bydatacenter.

De volgende stappen

Als het primaire datacenter na failover weer actief wordt, verwijdert u de registratie van de knooppunten van het stand-bydatacenter en herhaalt u het proces van configuratie van de ISO en registratie van de knooppunten van het primaire datacenter, zoals hierboven vermeld.

(Optioneel) ISO ontkoppelen na HDS-configuratie

De standaard HDS-configuratie wordt uitgevoerd met de aangekoppelde ISO. Sommige klanten geven er echter de voorkeur aan dat ISO-bestanden niet continu worden gekoppeld. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

U gebruikt nog steeds de ISO-bestanden om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de setuptool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra alle knooppunten de configuratiewijzigingen hebben opgehaald, kunt u de ISO opnieuw loskoppelen met deze procedure.

Voordat u begint

Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

1

Sluit een van uw HDS-knooppunten af.

2

Selecteer het HDS-knooppunt in het vCenter Server Appliance.

3

Kies Instellingen bewerken > CD/DVD-station en schakel ISO-gegevensopslagbestand uit.

4

Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 20 minuten geen alarmen zijn.

5

Herhaal om de beurt voor elk HDS-knooppunt.

Problemen met hybride databeveiliging oplossen

Waarschuwingen weergeven en problemen oplossen

Een implementatie van Hybride databeveiliging wordt als niet beschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als de cluster zo langzaam werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

  • Er kunnen geen nieuwe ruimten worden gemaakt (kan geen nieuwe sleutels maken)

  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

    • Nieuwe gebruikers die aan een ruimte zijn toegevoegd (kunnen geen sleutels ophalen)

    • Bestaande gebruikers in een ruimte met een nieuwe client (kunnen geen sleutels ophalen)

  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

Het is belangrijk dat u uw cluster voor hybride databeveiliging goed controleert en alle waarschuwingen onmiddellijk adresseert om onderbreking van de service te voorkomen.

Waarschuwingen

Als er een probleem is met de configuratie van hybride databeveiliging, geeft Partnerhub waarschuwingen weer aan de organisatiebeheerder en verzendt u e-mails naar het geconfigureerde e-mailadres. De waarschuwingen behandelen veel algemene scenario's.

Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

Waarschuwen

Actie

Lokale databasetoegang mislukt.

Controleer op databasefouten of problemen met het lokale netwerk.

Verbinding met lokale database mislukt.

Controleer of de databaseserver beschikbaar is en of de juiste referenties van het serviceaccount zijn gebruikt in de knooppuntconfiguratie.

Toegang tot cloudservice mislukt.

Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Vereisten voor externe connectiviteit.

De registratie van cloudservice wordt verlengd.

Registratie bij cloudservices is verbroken. De registratie wordt verlengd.

Registratie van cloudservice verbroken.

Registratie bij cloudservices is beëindigd. Service wordt afgesloten.

Service nog niet geactiveerd.

HDS activeren in Partnerhub.

Het geconfigureerde domein komt niet overeen met het servercertificaat.

Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

De meest waarschijnlijke oorzaak is dat de algemene naam van het certificaat onlangs is gewijzigd en nu anders is dan de algemene naam die tijdens de eerste installatie is gebruikt.

Kan niet verifiëren bij cloudservices.

Controleer op de nauwkeurigheid en mogelijke vervaldatum van de referenties van het serviceaccount.

Openen van lokaal keystore-bestand is mislukt.

Controleer op integriteit en wachtwoordnauwkeurigheid in het lokale keystore-bestand.

Het lokale servercertificaat is ongeldig.

Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

Kan statistieken niet plaatsen.

Controleer de toegang van het lokale netwerk tot externe cloudservices.

De map /media/configdrive/hds bestaat niet.

Controleer de ISO-koppelconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om te koppelen bij opnieuw opstarten en of het met succes wordt gekoppeld.

De tenantorganisatie-instellingen zijn niet voltooid voor de toegevoegde organisaties

Voltooi de installatie door CMK's te maken voor nieuw toegevoegde tenantorganisaties met de HDS-setuptool.

De tenantorganisatie is niet voltooid voor de verwijderde organisaties

Voltooi de installatie door CMK's van tenantorganisaties die zijn verwijderd met de HDS-setuptool in te trekken.

Problemen met hybride databeveiliging oplossen

Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met Hybride databeveiliging.
1

Controleer Partnerhub voor waarschuwingen en los alle items op die u daar vindt. Zie de afbeelding hieronder ter referentie.

2

Controleer de uitvoer van de Syslog-server voor activiteit van de implementatie van hybride databeveiliging. Filter op woorden als 'Waarschuwing' en 'Fout' om problemen op te lossen.

3

Neem contact op met Cisco-ondersteuning.

Overige opmerkingen

Bekende problemen voor hybride databeveiliging

  • Als u uw cluster voor hybride databeveiliging afsluit (door deze te verwijderen in Partner Hub of door alle knooppunten te sluiten), uw ISO-configuratiebestand te verliezen of de toegang tot de keystore-database te verliezen, kunnen gebruikers van de Webex-app van klantorganisaties niet langer ruimten gebruiken onder hun lijst Personen die zijn gemaakt met sleutels van uw KMS. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en we verzoeken u dringend uw HDS-services niet te beëindigen zodra deze actieve gebruikersaccounts afhandelen.

  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een bepaalde tijd (waarschijnlijk één uur).

OpenSSL gebruiken om een PKCS12-bestand te genereren

Voordat u begint

  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS-setuptool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten de ene weg niet boven de andere.

  • Als u ervoor kiest OpenSSL te gebruiken, bieden we deze procedure als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

  • Maak een privésleutel.

  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificerende instantie (CA).

1

Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

2

Geef het certificaat weer als tekst en verifieer de details.

openssl x509 -text -noout -in hdsnode.pem

3

Gebruik een tekstverwerker om een certificaatbundelbestand met de naam hdsnode-bundle.pem te maken. Het bundelbestand moet het servercertificaat, eventuele tussenliggende CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

----BEGIN CERTIFICATE------ ### Servercertificaat. ### -----END CERTIFICATE----------BEGIN CERTIFICATE----- ### Tussenliggend CA-certificaat. ### ----END CERTIFICATE----------BEGIN CERTIFICATE----- ### Basis CA-certificaat. ### -----END CERTIFICATE-----

4

Maak het .p12-bestand met de beschrijvende naam kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -naam kms-private-key -caname kms-private-key -out hdsnode.p12

5

Controleer de details van het servercertificaat.

  1. openssl pkcs12 -in hdsnode.p12

  2. Voer bij de prompt een wachtwoord in om de privésleutel te coderen zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de regels bevatten friendlyName: kms-privésleutel.

    Voorbeeld:

    bash$ openssl pkcs12 -in hdsnode.p12 Voer importwachtwoord in: Mac heeft OK Bag Attributes geverifieerd friendlyName: kms-privésleutel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Sleutelkenmerken:  Voer de PEM-wachtwoordzin in: Verifiëren - Voer de PEM-wachtwoordzin in: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-privésleutel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

De volgende stappen

Keer terug naar Aan de vereisten voor hybride databeveiliging voldoen. U gebruikt het bestand hdsnode.p12 en het wachtwoord dat u ervoor hebt ingesteld in Een configuratie-ISO voor de HDS-hosts maken.

U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

Verkeer tussen de HDS-knooppunten en de cloud

Verzamelverkeer uitgaande statistieken

De knooppunten voor hybride databeveiliging verzenden bepaalde statistieken naar de Webex-cloud. Hieronder vallen systeemstatistieken voor max. heap, gebruikte heap, CPU-belasting en threadtelling; statistieken op synchrone en asynchrone threads; statistieken over waarschuwingen met een drempel voor coderingsverbindingen, latentie of een aanvraagwachtrijlengte; statistieken in de gegevensopslag; en statistieken voor coderingsverbinding. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (afzonderlijk van het verzoek) kanaal.

Inkomend verkeer

De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer van de Webex-cloud:

  • Coderingsverzoeken van clients, die door de coderingsservice worden gerouteerd

  • Upgrades van de knooppuntsoftware

Het configureren van inktvis-Proxy's voor hybride data beveiliging

WebSocket kan geen verbinding maken via de inktvis-proxy

Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:) verstoren die vereist zijn voor hybride databeveiliging. Deze secties bevatten leidraden voor het configureren van verschillende versies van inktvis om WSS te negeren: verkeer voor de juiste werking van de services.

Pijlinktvis 4 en 5

Voeg de on_unsupported_protocol richtlijn toe aan squid.conf:

on_unsupported_protocol alles tunnel

Inktvis 3.5.27

De hybride gegevensbeveiliging is getest met de volgende regels die zijn toegevoegd aan inktvis. conf. Deze regels kunnen worden gewijzigd wanneer we functies ontwikkelen en de Webex Cloud bijwerken.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl stap1 at_step SslBump1 acl stap2 at_step SslBump2 acl stap3 at_step SslBump3 ssl_bump bekijk stap1 alle ssl_bump staren stap2 alle ssl_bump bump stap3 alle

Nieuwe en gewijzigde informatie

Nieuwe en gewijzigde informatie

Deze tabel bevat nieuwe functies of functionaliteiten, wijzigingen in bestaande inhoud en belangrijke fouten die zijn opgelost in de Implementatiehandleiding voor hybride databeveiliging met meerdere tenants.

Datum

Wijzigingen aangebracht

30 januari 2025

SQL-serverversie 2022 toegevoegd aan de lijst met ondersteunde SQL-servers in Vereisten voor databaseserver.

15 januari 2025

Beperkingen van hybride databeveiliging met meerdere tenants toegevoegd.

8 januari 2025

Er is een opmerking toegevoegd in Eerste installatie uitvoeren en installatiebestanden downloaden waarin staat dat het klikken op Instellen op de HDS-kaart in Partner Hub een belangrijke stap is in het installatieproces.

7 januari 2025

Bijgewerkte vereisten voor virtuele host, taakstroom voor implementatie van hybride databeveiliging en installeer de HDS-host-OVA om de nieuwe ESXi 7.0-vereiste weer te geven.

13 december 2024

Eerst gepubliceerd.

Hybride databeveiliging met meerdere tenants deactiveren

Taakstroom voor deactivering van HDS met meerdere tenants

Volg deze stappen om HDS met meerdere tenants volledig te deactiveren.

Voordat u begint

Deze taak mag alleen worden uitgevoerd door een volledige partnerbeheerder.
1

Verwijder alle klanten uit al uw clusters, zoals vermeld in Tenantorganisaties verwijderen.

2

Trek de CMK's van alle klanten in, zoals vermeld in CMK's van tenants die zijn verwijderd uit HDS intrekken..

3

Verwijder alle knooppunten uit al uw clusters, zoals vermeld in Een knooppunt verwijderen.

4

Verwijder al uw clusters uit Partnerhub met een van de volgende twee methoden.

  • Klik op het cluster dat u wilt verwijderen en selecteer Dit cluster verwijderen in de rechterbovenhoek van de overzichtspagina.
  • Klik op de pagina Resources op ... aan de rechterkant van een cluster en selecteer Cluster verwijderen.
5

Klik op het tabblad Instellingen op de overzichtspagina Hybride databeveiliging en klik op HDS deactiveren op de HDS-statuskaart.

Aan de slag met hybride databeveiliging voor meerdere tenants

Overzicht van hybride databeveiliging met meerdere tenants

Vanaf dag één is gegevensbeveiliging de primaire focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end-inhoudscodering, ingeschakeld door clients van de Webex-app die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografiesleutels die clients gebruiken om berichten en bestanden dynamisch te coderen en te decoderen.

Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride databeveiliging verplaatst de KMS en andere beveiligingsgerelateerde functies naar uw bedrijfsdatacenter, dus niemand maar u beschikt over de sleutels voor uw gecodeerde inhoud.

Met Hybride databeveiliging voor meerdere tenants kunnen organisaties HDS gebruiken via een vertrouwde lokale partner, die kan optreden als serviceprovider en codering en andere beveiligingsservices op locatie kan beheren. Met deze instelling kan de partnerorganisatie volledige controle hebben over de implementatie en het beheer van coderingssleutels en zorgen ervoor dat gebruikersgegevens van klantorganisaties veilig zijn tegen externe toegang. Partnerorganisaties stellen HDS-instanties in en maken indien nodig HDS-clusters. Elk exemplaar kan meerdere klantorganisaties ondersteunen, in tegenstelling tot een reguliere HDS-implementatie die beperkt is tot één organisatie.

Hoewel partnerorganisaties de implementatie en het beheer onder controle hebben, hebben ze geen toegang tot gegevens en inhoud die door klanten zijn gegenereerd. Deze toegang is beperkt tot klantorganisaties en hun gebruikers.

Hierdoor kunnen kleinere organisaties ook HDS gebruiken, omdat sleutelbeheerservice en beveiligingsinfrastructuur zoals datacenters eigendom zijn van de vertrouwde lokale partner.

Hoe hybride databeveiliging met meerdere tenants gegevenssoevereiniteit en gegevenscontrole biedt

  • Door gebruikers gegenereerde inhoud wordt beschermd tegen externe toegang, zoals cloudserviceproviders.
  • Lokale vertrouwde partners beheren de coderingssleutels van klanten met wie ze al een bestaande relatie hebben.
  • Optie voor lokale technische ondersteuning, indien verstrekt door de partner.
  • Ondersteunt inhoud voor vergaderingen, berichten en gesprekken.

Dit document is bedoeld om partnerorganisaties te helpen bij het instellen en beheren van klanten onder een systeem voor hybride databeveiliging met meerdere tenants.

Beperkingen van hybride databeveiliging met meerdere tenants

  • Partnerorganisaties mogen geen bestaande HDS-implementatie actief hebben in Control Hub.
  • Tenant- of klantorganisaties die door een partner willen worden beheerd, mogen geen bestaande HDS-implementatie hebben in Control Hub.
  • Zodra Multi-tenant HDS door de partner is geïmplementeerd, gaan alle gebruikers van klantorganisaties en gebruikers van de partnerorganisatie gebruikmaken van Multi-tenant HDS voor hun coderingsservices.

    De partnerorganisatie en klantorganisaties die zij beheren, bevinden zich in dezelfde HDS-implementatie voor meerdere tenants.

    De partnerorganisatie gebruikt geen Cloud KMS meer nadat een multi-tenant-HDS is geïmplementeerd.

  • Er is geen mechanisme om sleutels terug te verplaatsen naar Cloud KMS na een HDS-implementatie.
  • Momenteel kan elke HDS-implementatie met meerdere tenants slechts één cluster hebben, met meerdere knooppunten eronder.
  • Beheerdersrollen hebben bepaalde beperkingen. Zie het onderstaande gedeelte voor meer informatie.

Rollen in hybride databeveiliging met meerdere tenants

  • Volledige partnerbeheerder : kan instellingen beheren voor alle klanten die de partner beheert. Kan ook beheerdersrollen toewijzen aan bestaande gebruikers in de organisatie en specifieke klanten toewijzen die moeten worden beheerd door partnerbeheerders.
  • Partnerbeheerder : kan instellingen beheren voor klanten die door de beheerder zijn ingericht of die aan de gebruiker zijn toegewezen.
  • Volledige beheerder - Beheerder van de partnerorganisatie die bevoegd is om taken uit te voeren zoals het wijzigen van organisatie-instellingen, het beheren van licenties en het toewijzen van rollen.
  • End-to-end installatie en beheer van alle klantorganisaties met meerdere tenants : volledige partnerbeheerder en volledige beheerdersrechten vereist.
  • Beheer van toegewezen tenantorganisaties : partnerbeheerders en volledige beheerdersrechten vereist.

Architectuur beveiligingsrealm

De Webex-cloudarchitectuur scheidt verschillende typen services in verschillende realms of vertrouwensdomeinen, zoals hieronder afgebeeld.

Gescheiden ruimten (zonder hybride databeveiliging)

Laten we voor meer informatie over hybride databeveiliging eerst naar deze pure cloudcase kijken, waarbij Cisco alle functies in zijn clouddomeinen biedt. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks gecorreleerd kunnen worden met hun persoonlijke informatie, zoals hun e-mailadres, staat logischerwijs en fysiek los van de beveiligingsruimte in datacenter B. Beide staan op hun beurt los van de ruimte waar gecodeerde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

In dit diagram is de client de Webex-app die op de laptop van een gebruiker wordt uitgevoerd en is de identiteitsservice geverifieerd. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

  1. De client brengt een beveiligde verbinding tot stand met de sleutelbeheerservice (KMS) en vraagt vervolgens een sleutel aan om het bericht te coderen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

  2. Het bericht wordt gecodeerd voordat het de client verlaat. De client verzendt deze naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

  3. Het gecodeerde bericht wordt naar de nalevingsservice verzonden voor nalevingscontroles.

  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

Wanneer u hybride databeveiliging implementeert, verplaatst u de functies van de beveiligingsregio (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de rijken van Cisco.

Samenwerken met andere organisaties

Gebruikers in uw organisatie kunnen regelmatig de Webex-app gebruiken om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, leidt uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS op te halen. Vervolgens stuurt u de sleutel terug naar uw gebruiker op het oorspronkelijke kanaal.

De KMS-service die op Organisatie A wordt uitgevoerd, valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat dat u wilt gebruiken met uw implementatie van hybride databeveiliging met meerdere tenants.

Verwachtingen voor het implementeren van hybride databeveiliging

Een implementatie van Hybride databeveiliging vereist aanzienlijke inzet en een besef van de risico's die verbonden zijn aan het bezitten van coderingssleutels.

Voor het implementeren van hybride databeveiliging moet u het volgende opgeven:

Volledig verlies van de configuratie-ISO die u voor hybride databeveiliging maakt of de database die u opgeeft, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers ruimte-inhoud en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar is alleen nieuwe inhoud zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

  • Beheer de back-up en het herstel van de database en de configuratie-ISO.

  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing van de databaseselectie of een ramp in een datacenter.

Er is geen mechanisme om sleutels terug naar de cloud te verplaatsen na een HDS-implementatie.

Installatieproces op hoog niveau

In dit document worden de installatie en het beheer van een implementatie van hybride databeveiliging met meerdere tenants behandeld:

  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het bouwen van een HDS-cluster, het toevoegen van tenantorganisaties aan de cluster en het beheren van hun Customer Main Keys (CMK's). Hiermee kunnen alle gebruikers van uw klantorganisaties uw cluster voor hybride databeveiliging gebruiken voor beveiligingsfuncties.

    De installatie-, activerings- en beheerfasen worden in detail behandeld in de volgende drie hoofdstukken.

  • Uw implementatie van hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch doorlopende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig contact opnemen met Cisco-ondersteuning. U kunt meldingen op het scherm gebruiken en waarschuwingen op basis van e-mail instellen in Partner Hub.

  • Algemene waarschuwingen, stappen voor het oplossen van problemen en bekende problemen begrijpen: als u problemen ondervindt met het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen bij het bepalen en oplossen van het probleem.

Implementatiemodel voor hybride databeveiliging

In uw bedrijfsdatacenter implementeert u hybride databeveiliging als een enkele cluster knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

Tijdens het installatieproces voorzien we u van het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt koppelt. Het cluster voor hybride databeveiliging gebruikt uw opgegeven Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de Syslogd- en databaseverbindingsgegevens in de HDS-setuptool.)

Implementatiemodel voor hybride databeveiliging

Het minimum aantal knooppunten dat u in een cluster kunt hebben, is twee. We raden ten minste drie per cluster aan. Het hebben van meerdere knooppunten zorgt ervoor dat de service niet wordt onderbroken tijdens een software-upgrade of andere onderhoudsactiviteiten op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

Alle knooppunten in een cluster hebben toegang tot dezelfde belangrijke gegevensopslag en logboekactiviteit tot dezelfde syslog-server. De knooppunten zelf zijn staatloos en handelen sleutelverzoeken af op ronde-robin-manier, zoals aangegeven door de cloud.

Knooppunten worden actief wanneer u ze registreert in Partner Hub. Als u een afzonderlijk knooppunt uit dienst wilt nemen, kunt u de registratie ongedaan maken en later indien nodig opnieuw registreren.

Stand-by-datacenter voor noodherstel

Tijdens de implementatie stelt u een beveiligd stand-by datacenter in. In het geval van een datacenterramp kunt u de implementatie handmatig naar het stand-bydatacenter mislukken.

Vóór de failover heeft Datacenter A actieve HDS-knooppunten en de primaire PostgreSQL- of Microsoft SQL-serverdatabase, terwijl B een kopie heeft van het ISO-bestand met aanvullende configuraties, VM's die bij de organisatie zijn geregistreerd en een stand-bydatabase. Na failover heeft datacenter B actieve HDS-knooppunten en de primaire database, terwijl A niet-geregistreerde VM's en een kopie van het ISO-bestand heeft en de database in de stand-bymodus staat.
Handmatig failover naar stand-bydatacenter

De databases van de actieve en stand-bydatacenters zijn gesynchroniseerd met elkaar, waardoor de tijd die nodig is om de failover uit te voeren, wordt geminimaliseerd.

De actieve knooppunten voor hybride databeveiliging moeten zich altijd in hetzelfde datacenter bevinden als de actieve databaseserver.

Proxy ondersteuning

Hybride gegevensbeveiliging biedt ondersteuning voor expliciete, transparante inspectie en het niet-geïnspecteerde proxy's. U kunt deze proxy's koppelen aan uw implementatie zodat u verkeer van de onderneming kunt beveiligen en controleren naar de Cloud. U kunt een platformbeheer interface gebruiken op de knooppunten voor certificaatbeheer en de algehele verbindingsstatus controleren nadat u de proxy op de knooppunten hebt ingesteld.

De knooppunten voor hybride data beveiliging ondersteunen de volgende proxy opties:

  • Geen proxy: de standaard als u het HDS-knooppunt niet gebruikt, stelt u de vertrouwensarchief- en proxyconfiguratie in om een proxy te integreren. Er is geen certificaat update vereist.

  • Transparante proxy zonder inspectie: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres en hoeven geen wijzigingen te vereisen om te werken met een proxy zonder inspectie. Er is geen certificaat update vereist.

  • Transparent tunneling of inspecting proxy: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres. Er zijn geen HTTP-of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).

  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welke proxyserver en verificatieschema moeten worden gebruikt. Als u een expliciete proxy wilt configureren, moet u op elk knooppunt de volgende informatie invoeren:

    1. Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.

    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.

    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

      • HTTP: alle aanvragen die de client verzendt, worden weergegeven en beheerd.

      • HTTPS: geeft een kanaal aan de server. De client ontvangt en valideert het certificaat van de server.

    4. Verificatietype: kies uit de volgende verificatietypen:

      • Geen: geen verdere verificatie is vereist.

        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.

        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

        Alleen beschikbaar als u HTTPS als proxy protocol selecteert.

        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

Voorbeeld van knooppunten en proxy voor hybride data beveiliging

Dit diagram toont een voorbeeld van een verbinding tussen de hybride gegevensbeveiliging, het netwerk en een proxy. Voor de instellingen voor transparant inspecteren en HTTPS expliciet controleren, moeten dezelfde hoofdcertificaat op de proxy en op de knooppunten voor hybride data beveiliging worden geïnstalleerd.

Geblokkeerde externe DNS-omzettingsmodus (expliciete proxy configuraties)

Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. In implementaties met expliciete proxyconfiguraties die geen externe DNS-omzetting voor interne clients toestaan, als het knooppunt de DNS-servers niet kan opvragen, wordt de geblokkeerde externe DNS-omzettingsmodus automatisch ingeschakeld. In deze modus kan de registratie van knooppunten en andere proxy connectiviteitstests worden voortgezet.

Uw omgeving voorbereiden

Vereisten voor hybride databeveiliging met meerdere tenants

Cisco Webex-licentievereisten

Hybride databeveiliging met meerdere tenants implementeren:

  • Partnerorganisaties: Neem contact op met uw Cisco-partner of accountmanager en zorg ervoor dat de functie voor meerdere tenants is ingeschakeld.

  • Tenantorganisaties: U moet het Pro-pakket voor Cisco Webex Control Hub hebben. (Zie https://www.cisco.com/go/pro-pack.)

X.509-certificaatvereisten

De certificaatketen moet aan de volgende vereisten voldoen:

Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

Vereiste

Details

  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

Standaard vertrouwen we de CA's in de lijst met Mozilla (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

  • Draagt een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

  • Is geen wildcardcertificaat

De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die overeenkomt met uw organisatie, bijvoorbeeld hds.bedrijf.com.

De algemene naam mag geen * (jokerteken) bevatten.

De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren naar Webex-app-clients. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

Wanneer u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam.

  • Niet-SHA1-handtekening

De KMS-software biedt geen ondersteuning voor SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

  • Opgemaakt als een met een wachtwoord beveiligd PKCS #12-bestand

  • Gebruik de beschrijvende naam kms-private-key om het certificaat, de privésleutel en eventuele aanvullende certificaten te taggen om te uploaden.

U kunt een conversieprogramma zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

U moet het wachtwoord invoeren wanneer u de HDS-setuptool uitvoert.

De KMS-software dwingt geen beperkingen op het sleutelgebruik of het uitgebreide sleutelgebruik af. Sommige certificeringsinstanties vereisen dat uitgebreide gebruiksbeperkingen voor elk certificaat worden toegepast, zoals serververificatie. Het is oké om de serververificatie of andere instellingen te gebruiken.

Vereisten voor virtuele host

De virtuele hosts die u als knooppunten voor hybride databeveiliging in uw cluster instelt, hebben de volgende vereisten:

  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich samen in hetzelfde beveiligde datacenter bevinden

  • VMware ESXi 7.0 (of hoger) is geïnstalleerd en wordt uitgevoerd.

    Als u een eerdere versie van ESXi hebt, moet u upgraden.

  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

Vereisten voor databaseserver

Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. De HDS-toepassingen maken na installatie het databaseschema.

Er zijn twee opties voor databaseserver. De vereisten voor elk ervan zijn als volgt:

Tabel 2. Vereisten voor databaseserver per type database

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

  • SQL Server 2016, 2017, 2019 of 2022 (Enterprise of Standaard) geïnstalleerd.

    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten)

Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten)

De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

PostgreSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

SQL Server JDBC-stuurprogramma 4.6

Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover-clusterinstanties en Always On-beschikbaarheidsgroepen).

Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

  • De HDS-knooppunten, de Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees- en schrijftoegang hebben tot de database.

  • De DNS-servers die u aan HDS-knooppunten verstrekt, moeten uw Key Distribution Center (KDC) kunnen oplossen.

  • U kunt het exemplaar van de HDS-database op uw Microsoft SQL-server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een hoofdnaam voor de service registreren voor Kerberos-verbindingen.

    De HDS-setuptool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de details uit uw ISO-configuratie om de SPN te maken wanneer ze toegang aanvragen met Kerberos-verificatie.

Vereisten voor externe connectiviteit

Configureer uw firewall om de volgende connectiviteit voor de HDS-toepassingen toe te staan:

Toepassing

Protocol

Poort

Richting vanuit app

Bestemming

Knooppunten voor hybride databeveiliging

TCP

443

Uitgaande HTTPS en WSS

  • Webex-servers:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-hosts

  • Andere URL's die voor hybride databeveiliging worden vermeld in de tabel Aanvullende URL's voor hybride Webex-services met Netwerkvereisten voor Webex-services

HDS-setuptool

TCP

443

Uitgaande HTTPS

  • *.wbx2.com

  • Alle Common Identity-hosts

  • hub.docker.com

De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de vorige tabel toestaat. Voor verbindingen die inkomend naar de knooppunten voor hybride databeveiliging gaan, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22 voor administratieve doeleinden.

De URL's voor de Common Identity-hosts (CI) zijn regiospecifiek. Dit zijn de huidige CI-hosts:

Regio

URL's van host van algemene identiteit

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europese Unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Verenigde Arabische Emiraten
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vereisten voor de proxy server

  • We ondersteunen de volgende proxy oplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride data beveiliging.

    • Transparante proxy: Cisco Web Security Appliance (WSA).

    • Expliciete proxy-pijlinktvis.

      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:) verstoren. Zie Squid-proxy's configureren voor hybride databeveiliging om dit probleem te omzeilen.

  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

    • Geen verificatie met HTTP of HTTPS

    • Basisverificatie met HTTP of HTTPS

    • Alleen verificatiesamenvatting met HTTPS

  • Voor een transparante inspectie proxy of een HTTPS-expliciete proxy moet u een kopie van de hoofdcertificaat van de proxy hebben. De implementatie-instructies in deze handleiding geven aan hoe u de kopie kunt uploaden naar de vertrouwens archieven van de hybride Data Security-knooppunten.

  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 af te ronden via de proxy.

  • Proxy's die het webverkeer controleren, kunnen de WebSocket-verbindingen belemmeren. Als dit probleem zich voordoet, kunt u het probleem oplossen door het verkeer niet te controleren op wbx2.com en ciscospark.com .

Voldoen aan de vereisten voor hybride databeveiliging

Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
1

Zorg ervoor dat uw partnerorganisatie de functie Multi-tenant HDS heeft ingeschakeld en haal de referenties op van een account met volledige partnerbeheerder en volledige beheerdersrechten. Zorg ervoor dat uw Webex-klantorganisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

Klantorganisaties mogen geen bestaande HDS-implementatie hebben.

2

Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

3

Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt minimaal twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter staan en die voldoen aan de vereisten in Vereisten voor virtuele hosts.

4

Bereid de databaseserver voor die fungeert als de belangrijkste gegevensopslag voor het cluster, volgens de Vereisten van de databaseserver. De databaseserver moet in het beveiligde datacenter samen met de virtuele hosts worden geplaatst.

  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik niet de standaarddatabase. De HDS-toepassingen maken na installatie het databaseschema.)

  2. Verzamel de details die de knooppunten gebruiken om te communiceren met de databaseserver:

    • de hostnaam of het IP-adres (host) en de poort

    • de naam van de database (dbname) voor sleutelopslag

    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de sleutelopslagdatabase

5

Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft waarop HDS-knooppunten worden uitgevoerd, moet de back-upomgeving 3 VM's hebben.

6

Stel een syslog-host in om logboeken van de knooppunten in het cluster te verzamelen. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

7

Maak een beveiligd back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.

Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die voor het coderen en decoderen van inhoud worden gebruikt, zal het niet onderhouden van een operationele implementatie leiden tot ONHERSTELBAAR VERLIES van die inhoud.

Webex-app-clients slaan hun sleutels in het cachegeheugen, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen onmogelijk te voorkomen zijn, zijn ze herstelbaar. Een volledig verlies (er zijn geen back-ups beschikbaar) van de database of het ISO-configuratiebestand zal echter resulteren in onherstelbare klantgegevens. Van de operatoren van de knooppunten voor hybride databeveiliging wordt verwacht dat ze frequente back-ups van de database en het ISO-configuratiebestand bijhouden en dat ze voorbereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als zich een catastrofale storing voordoet.

8

Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw knooppunten voor hybride databeveiliging mogelijk maakt, zoals beschreven in Vereisten voor externe connectiviteit.

9

Installeer Docker ( https://www.docker.com) op een lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft op http://127.0.0.1:8080.

U gebruikt de Docker-instantie om de HDS Setup Tool te downloaden en uit te voeren, waarmee de lokale configuratiegegevens voor alle knooppunten voor hybride databeveiliging worden opgebouwd. Mogelijk hebt u een Docker Desktop-licentie nodig. Zie Vereisten voor Docker-desktops voor meer informatie.

Als u de HDS-setuptool wilt installeren en uitvoeren, moet de lokale machine de verbinding hebben die wordt beschreven in Vereisten voor externe connectiviteit.

10

Als u een proxy integreert met hybride databeveiliging, moet u controleren of deze voldoet aan de vereisten voor de proxyserver.

Een cluster voor hybride databeveiliging instellen

Taakstroom implementatie hybride databeveiliging

Voordat u begint

1

Voer de eerste installatie uit en download installatiebestanden

Download het OVA-bestand naar uw lokale machine voor later gebruik.

2

Een configuratie-ISO voor de HDS-hosts maken

Gebruik de HDS-setuptool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

3

De HDS-host-OVA installeren

Maak een virtuele machine met het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.

De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 7.0. Deze optie is mogelijk niet beschikbaar in eerdere versies.

4

VM voor hybride databeveiliging instellen

Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

5

De HDS-configuratie-ISO uploaden en koppelen

Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-setuptool.

6

Configureer het HDS-knooppunt voor proxy-integratie

Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u het proxycertificaat indien nodig toe aan de vertrouwensopslag.

7

Het eerste knooppunt in het cluster registreren

Registreer de VM bij de Cisco Webex-cloud als knooppunt voor hybride databeveiliging.

8

Meer knooppunten maken en registreren

Voltooi de clustersetup.

9

Activeer HDS met meerdere tenants in Partner Hub.

Activeer HDS en beheer tenantorganisaties in Partner Hub.

Voer de eerste installatie uit en download installatiebestanden

In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). U kunt dit bestand later in het installatieproces gebruiken.

1

Meld u aan bij Partnerhub en klik vervolgens op Services.

2

Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik vervolgens op Instellen.

Het is essentieel voor het implementatieproces te klikken op Instellen in Partnerhub. Ga niet verder met de installatie zonder deze stap te voltooien.

3

Klik op Een resource toevoegen en klik op OVA-bestand downloaden op de kaart Software installeren en configureren .

Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de meest recente versie van het OVA-bestand downloadt.

U kunt de OVA ook op elk moment downloaden via het gedeelte Help . Klik op Instellingen > Help > Software voor hybride databeveiliging downloaden.

Het downloaden van het OVA-bestand wordt automatisch gestart. Sla het bestand op een locatie op uw computer op.
4

U kunt ook op Implementatiegids voor hybride databeveiliging bekijken klikken om te controleren of er een nieuwere versie van deze handleiding beschikbaar is.

Een configuratie-ISO voor de HDS-hosts maken

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

Voordat u begint

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Op de pagina ISO-import hebt u de volgende opties:

  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de blader en uploadt u het.
10

Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

  • Als u nog nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
  • Als uw certificaat OK is, klikt u op Doorgaan.
  • Als uw certificaat is verlopen of u het wilt vervangen, selecteert u Nee voor Doorgaan met het gebruik van de HDS-certificaatketen en privésleutel van vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
11

Voer het databaseadres en het account in voor HDS om toegang te krijgen tot uw belangrijke gegevensopslag:

  1. Selecteer uw databasetype (PostgreSQL of Microsoft SQL Server).

    Als u Microsoft SQL Server kiest, wordt het veld Verificatietype weergegeven.

  2. (Alleen Microsoft SQL-server ) Selecteer uw verificatietype:

    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam .

    • Windows-verificatie: U hebt een Windows-account nodig met de indeling gebruikersnaam@DOMEIN in het veld Gebruikersnaam .

  3. Voer het adres van de databaseserver in de vorm : of : in.

    Voorbeeld:
    dbhost.example.org:1433 of 198.51.100.17:1433

    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

  4. Voer de Databasenaam in.

  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten op de sleutelopslagdatabase.

12

Selecteer een TLS-databaseverbindingsmodus:

Mode

Beschrijving

Voorkeur geven aan TLS (standaardoptie)

HDS-knooppunten vereisen geen TLS om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

TLS verplichten

HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

TLS verplichten en certificaat ondertekenaar verifiëren

Deze modus is niet van toepassing op SQL Server-databases.

  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het Basiscertificaat van de database. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

TLS verplichten en certificaat ondertekenaar en hostnaam verifiëren

  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het Basiscertificaat van de database. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databashost en poort . De namen moeten exact overeenkomen, of de verbinding wordt door het knooppunt ingspunt laten merken.

Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-setuptool de TLS-verbinding met de databaseserver. De tool controleert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, wordt er een foutmelding weergegeven waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de machine van de HDS-setuptool deze niet kan testen.)

13

Configureer uw Syslogd-server op de pagina Systeemlogboeken:

  1. Voer de URL van de syslog-server in.

    Als de server niet door het DNS kan worden omgezet vanaf de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

    Voorbeeld:
    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij de Syslogd-host 10.92.43.23 op UDP-poort 514.
  2. Als u uw server zo instelt dat deze TLS-codering gebruikt, schakelt u het selectievakje Is uw syslog-server geconfigureerd voor SSL-codering? in.

    Als u dit selectievakje inschakelt, moet u een TCP-URL zoals tcp://10.92.43.23:514 invoeren.

  3. Kies in de vervolgkeuzelijst Syslog-record beëindigen kiezen de juiste instelling voor uw ISO-bestand: Kiezen of nieuwe lijn wordt gebruikt voor Graylog en Rsyslog TCP

    • Null byte -- \x00

    • Regeleinde -- \n: selecteer deze keuze voor Graylog en Rsyslog TCP.

  4. Klik op Doorgaan.

14

(Optioneel) U kunt de standaardwaarde voor sommige parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u mogelijk wilt wijzigen:

app_datasource_connection_pool_maxGrootte: 10
15

Klik op Doorgaan in het scherm Wachtwoord voor serviceaccounts herstellen .

Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u ze wilt herstellen om eerdere ISO-bestanden ongeldig te maken.

16

Klik op ISO-bestand downloaden. Sla het bestand op een eenvoudig te vinden locatie op.

17

Maak een back-up van het ISO-bestand op uw lokale systeem.

Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

18

Als u de setuptool wilt afsluiten, typt u CTRL+C.

De volgende stappen

Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten te maken voor herstel of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het is niet mogelijk om de sleutels te herstellen van uw PostgreSQL- of Microsoft SQL Server-database.

We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze verliest.

De HDS-host-OVA installeren

Gebruik deze procedure om een virtuele machine te maken van het OVA-bestand.
1

Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

2

Selecteer Bestand > OVF-sjabloon implementeren.

3

Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

4

Op de pagina Een naam en map selecteren voert u een naam van de virtuele machine in voor het knooppunt (bijvoorbeeld 'HDS_Node_1'), kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u op Volgende.

5

Kies op de pagina Een rekenresource selecteren de bestemming van de rekenresource en klik vervolgens op Volgende.

Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloongegevens weergegeven.

6

Controleer de sjabloongegevens en klik vervolgens op Volgende.

7

Als u wordt gevraagd de resourceneconfiguratie op de pagina Configuratie te kiezen, klikt u op 4 CPU en vervolgens op Volgende.

8

Klik op de pagina Opslag selecteren op Volgende om het standaard schijfindeling en het VM-opslagbeleid te accepteren.

9

Op de pagina Netwerken selecteren kiest u de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

10

Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen :

  • Hostnaam: voer de FQDN (hostnaam en domein) of een enkele woord hostnaam voor het knooppunt in.
    • U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

    • Gebruik alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld om een succesvolle registratie bij de cloud te garanderen. Hoofdletters worden momenteel niet ondersteund.

    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

  • IP-adres: voer het IP-adres in voor de interne interface van het knooppunt.

    Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

  • Masker: voer het adres van het subnetmasker in puntdecimale notatie in. Bijvoorbeeld 255.255.255.0.
  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat dienst doet als een toegangspunt naar een ander netwerk.
  • DNS-servers: voer een door komma's gescheiden lijst in met DNS-servers die domeinnamen naar numerieke IP-adressen vertalen. (Er zijn maximaal 4 DNS-vermeldingen toegestaan.)
  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die voor uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster voor administratieve doeleinden bereikbaar zijn vanaf clients in uw netwerk.

Indien gewenst kunt u de configuratie van de netwerkinstelling overslaan en de stappen volgen in De VM voor hybride databeveiliging instellen om de instellingen te configureren vanuit de knooppuntconsole.

De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 7.0. Deze optie is mogelijk niet beschikbaar in eerdere versies.

11

Klik met de rechtermuisknop op het knooppunt VM en kies Aan/uit > Inschakelen.

De software voor hybride databeveiliging wordt als gast geïnstalleerd op de VM-host. U bent nu klaar om u aan te melden bij de console en het knooppunt te configureren.

Tips voor probleemoplossing

U kunt een vertraging van enkele minuten ervaren voordat de knooppuntcontainers omhoog komen. Tijdens de eerste keer opstarten verschijnt een bridge-firewallbericht op de console, waarbij u zich niet kunt aanmelden.

VM voor hybride databeveiliging instellen

Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en om de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

1

Selecteer in de VMware vSphere-client de VM van uw knooppunt voor hybride databeveiliging en het tabblad Console .

De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldingsprompt niet wordt weergegeven, drukt u op Enter.
2

Gebruik de volgende standaardaanmeldgegevens en -wachtwoorden om u aan te melden en de aanmeldgegevens te wijzigen:

  1. Aanmelden: beheer

  2. Wachtwoord: Cisco

Aangezien u zich voor de eerste keer bij uw VM aanmeldt, moet u het beheerderswachtwoord wijzigen.

3

Als u de netwerkinstellingen al hebt geconfigureerd in De HDS-host-OVA installeren, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken .

4

Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

5

(Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om overeen te stemmen met uw netwerkbeleid.

U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

6

Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen worden doorgevoerd.

De HDS-configuratie-ISO uploaden en koppelen

Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-setuptool.

Voordat u begint

Omdat het ISO-bestand de hoofdsleutel bevat, mag deze alleen worden weergegeven op een 'need to know'-basis, voor toegang door de VM's van hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen deze beheerders toegang hebben tot de gegevensopslag.

1

Upload het ISO-bestand vanaf uw computer:

  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

  2. Klik op de lijst Hardware van het tabblad Configuratie op Opslag.

  3. Klik in de lijst Gegevensopslag met de rechtermuisknop op de gegevensopslag voor uw VM's en klik op Gegevensopslag bladeren.

  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

  6. Klik op Ja om de waarschuwing voor het uploaden/downloaden te accepteren en sluit het dialoogvenster Gegevensopslag.

2

Koppel het ISO-bestand:

  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  2. Klik op OK om de waarschuwing met beperkte bewerkingsopties te accepteren.

  3. Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanuit een ISO-bestand van de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

  4. Schakel Verbonden en Verbinding maken na inschakelen in.

  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

De volgende stappen

Als uw IT-beleid dat vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (optioneel) ISO ontkoppelen na HDS-configuratie voor meer informatie.

Configureer het HDS-knooppunt voor proxy-integratie

Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride gegevensbeveiliging. Als u een transparante inspectering proxy of een HTTPS-expliciete proxy kiest, kunt u de interface van het knooppunt gebruiken om de hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding vanuit de interface controleren en mogelijke problemen oplossen.

Voordat u begint

1

Voer de installatie-URL van het HDS-knooppunt https://[HDS node IP of FQDN]/Setup in een webbrowser in, voer de beheerders gegevens in die u hebt ingesteld voor het knooppunt en klik vervolgens op aanmelden.

2

Ga naar vertrouwens archieven voor vertrouwde proxyen kies een optie:

  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaat update vereist.
  • Transparent Non-Inspecting Proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaat update vereist.
  • Proxy transparant inspecteren: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen wijzigingen in de HTTPS-configuratie nodig voor de implementatie van hybride data beveiliging, de HDS-knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).
  • Expliciete proxy: met expliciete proxy vertelt u de client (HDS-knooppunten) welke proxyserver moet worden gebruikt en deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
    1. Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.

    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.

    3. Proxyprotocol: kies http (toont en beheert alle verzoeken die zijn ontvangen van de client) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

    4. Verificatietype: kies uit de volgende verificatietypen:

      • Geen: geen verdere verificatie is vereist.

        Beschikbaar voor HTTP-of HTTPS-proxy's.

      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.

        Beschikbaar voor HTTP-of HTTPS-proxy's.

        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

        Alleen beschikbaar voor HTTPS-proxy's.

        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

Volg de volgende stappen voor een transparante inspectie proxy, een HTTP Explicit-proxy met basisverificatie of een HTTPS-expliciete proxy.

3

Klik op een hoofdcertificaat of eindentiteit certificaat uploadenen navigeer vervolgens naar een kies de hoofdcertificaat voor de proxy.

Het certificaat is geüpload, maar is nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijlpunt punthaak op de naam van de certificaatuitgever voor meer informatie of klik op verwijderen Als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

4

Klik op proxy verbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

Als de verbindingstest mislukt, wordt er een foutbericht weergegeven met de reden en hoe u het probleem kunt oplossen.

Als u een bericht ziet dat de externe DNS-omzetting niet is geslaagd, kan het knooppunt de DNS-server niet bereiken. Deze situatie wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de geblokkeerde externe DNS-omzettingsmodus. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u vervolgens Modus voor geblokkeerde externe DNS-resolutie uitschakelen.

5

Nadat de verbindingstest is geslaagd, voor expliciete proxy ingesteld op alleen https, schakelt u het in-/uitschakelen in om alle poort 443/444 HTTPS-aanvragen van dit knooppunt te routeren via de expliciete proxy. Deze instelling vereist 15 seconden om van kracht te worden.

6

Klik op alle certificaten installeren in het vertrouwde archief (wordt weergegeven voor een HTTPS-expliciete proxy of een transparante inspectie proxy) of opnieuw opstarten (wordt weergegeven voor een http-expliciete proxy), lees de prompt en klik vervolgens op installeren Als u klaar bent.

Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

7

Nadat het knooppunt opnieuw is opgestart, meldt u zich opnieuw aan indien nodig en opent u de overzichts pagina om te controleren of ze allemaal in de groene status zijn.

De controle van de proxyverbinding test alleen een subdomein van webex.com. Als er problemen zijn met de verbinding, is een veelvoorkomend probleem dat sommige Cloud domeinen die worden vermeld in de installatie-instructies, worden geblokkeerd op de proxy.

Het eerste knooppunt in het cluster registreren

Bij deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in De VM voor hybride databeveiliging instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd voor redundantie.

Voordat u begint

  • Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.

  • Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik op Instellen.

4

Klik op de pagina die wordt geopend op Een resource toevoegen.

5

Voer in het eerste veld van de kaart Een knooppunt toevoegen een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

We raden u aan een cluster een naam te geven op basis van de plaats waar de knooppunten van de cluster zich geografisch bevinden. Voorbeelden: "San Francisco", "New York" of "Dallas"

6

Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Toevoegen onderaan het scherm.

Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein die u hebt gebruikt in De VM voor hybride databeveiliging instellen.

Er wordt een bericht weergegeven dat aangeeft dat u uw knooppunt kunt registreren bij de Webex.
7

Klik op Naar knooppunt gaan.

Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.

8

Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
9

Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging Partnerhub.

Op de pagina Hybride databeveiliging wordt de nieuwe cluster met het knooppunt dat u hebt geregistreerd weergegeven onder het tabblad Resources . Het knooppunt downloadt automatisch de nieuwste software uit de cloud.

Meer knooppunten maken en registreren

Om extra knooppunten aan uw cluster toe te voegen, maakt u extra VM's en koppelt u hetzelfde ISO-configuratiebestand. Vervolgens registreert u het knooppunt. We raden aan dat u minimaal 3 knooppunten hebt.

Voordat u begint

  • Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.

  • Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

1

Maak een nieuwe virtuele machine van de OVA en herhaal de stappen in De HDS-host-OVA installeren.

2

Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De VM voor hybride databeveiliging instellen.

3

Herhaal op de nieuwe VM de stappen in De HDS-configuratie-ISO uploaden en koppelen.

4

Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Het HDS-knooppunt configureren voor proxyintegratie indien nodig voor het nieuwe knooppunt.

5

Registreer het knooppunt.

  1. Selecteer in https://admin.webex.comServices in het menu aan de linkerkant van het scherm.

  2. Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik op Alles weergeven.

    De pagina Resources hybride databeveiliging wordt weergegeven.
  3. Het nieuwe cluster wordt weergegeven op de pagina Resources .

  4. Klik op het cluster om de knooppunten weer te geven die aan het cluster zijn toegewezen.

  5. Klik op Een knooppunt toevoegen aan de rechterkant van het scherm.

  6. Voer het interne IP-adres of de volledig gekwalificeerde domeinnaam van uw knooppunt in en klik op Toevoegen.

    Er wordt een pagina geopend met een bericht dat aangeeft dat u uw knooppunt kunt registreren bij de Webex-cloud. Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging Partnerhub.

    Het pop-upbericht Knooppunt toegevoegd wordt ook onderaan het scherm in Partnerhub weergegeven.

    Uw knooppunt is geregistreerd.

Tenantorganisaties beheren voor hybride databeveiliging met meerdere tenants

HDS met meerdere tenants activeren in Partner Hub

Deze taak zorgt ervoor dat alle gebruikers van de klantorganisaties HDS kunnen gaan gebruiken voor lokale coderingssleutels en andere beveiligingsservices.

Voordat u begint

Zorg ervoor dat u het instellen van uw HDS-cluster met meerdere tenants hebt voltooid met het vereiste aantal knooppunten.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Instellingen bewerken.

4

Klik op HDS activeren op de kaart HDS-status .

Tenantorganisaties toevoegen in Partner Hub

In deze taak wijst u klantorganisaties toe aan uw cluster voor hybride databeveiliging.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Alles weergeven.

4

Klik op het cluster waaraan u wilt dat een klant wordt toegewezen.

5

Ga naar het tabblad Toegewezen klanten .

6

Klik op Klanten toevoegen.

7

Selecteer de klant die u wilt toevoegen in het vervolgkeuzemenu.

8

Klik op Toevoegen. De klant wordt aan het cluster toegevoegd.

9

Herhaal stap 6 tot en met 8 om meerdere klanten aan uw cluster toe te voegen.

10

Klik op Gereed onderaan het scherm zodra u de klanten hebt toegevoegd.

De volgende stappen

Voer de HDS-setuptool uit zoals beschreven in Hoofdsleutels voor klanten maken (CMK's) met de HDS-setuptool om het setupproces te voltooien.

Hoofdsleutels voor de klant maken met de HDS-setuptool

Voordat u begint

Wijs klanten toe aan het juiste cluster zoals beschreven in Tenantorganisaties toevoegen in Partner Hub. Voer de HDS-setuptool uit om het setupproces voor de nieuw toegevoegde klantorganisaties te voltooien.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Partnerhub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:

    • Aanmeldgegevens database

    • Certificaatupdates

    • Wijzigingen in autorisatiebeleid

  • Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Klik op de pagina ISO-import op Ja.

10

Selecteer uw ISO-bestand in de browser en upload het.

Zorg ervoor dat u verbinding hebt met uw database om CMK-beheer uit te voeren.
11

Ga naar het tabblad Tenant CMK-beheer . Hier vindt u de volgende drie manieren om tenant-CMK's te beheren.

  • CMK maken voor alle organisaties of CMK maken : klik op deze knop in de banner bovenaan het scherm om CMK's te maken voor alle nieuw toegevoegde organisaties.
  • Klik op de knop CMK's beheren aan de rechterkant van het scherm en klik op CMK's maken om CMK's te maken voor alle nieuw toegevoegde organisaties.
  • Klik op ... in de buurt van de status CMK-beheer in behandeling van een specifieke organisatie in de tabel en klik op CMK maken om CMK voor die organisatie te maken.
12

Wanneer het maken van CMK is gelukt, verandert de status in de tabel van CMK-beheer in behandeling in CMK beheerd.

13

Als het maken van CMK is mislukt, wordt een fout weergegeven.

Tenantorganisaties verwijderen

Voordat u begint

Na het verwijderen, kunnen gebruikers van klantorganisaties HDS niet meer gebruiken voor hun coderingsbehoeften en verliezen alle bestaande ruimten. Neem contact op met uw Cisco-partner of accountmanager voordat u klantorganisaties verwijdert.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Alles weergeven.

4

Klik op het tabblad Resources op het cluster waarvan u klantorganisaties wilt verwijderen.

5

Klik op de pagina die wordt geopend op Toegewezen klanten.

6

Klik in de lijst met klantorganisaties die worden weergegeven op ... aan de rechterkant van de klantorganisatie die u wilt verwijderen en klik op Verwijderen uit cluster.

De volgende stappen

Voltooi het verwijderingsproces door de CMK's van de klantorganisaties in te trekken, zoals beschreven in CMK's van tenants die zijn verwijderd uit HDS intrekken.

CMK's van tenants die zijn verwijderd uit HDS intrekken.

Voordat u begint

Verwijder klanten uit het juiste cluster zoals beschreven in Tenantorganisaties verwijderen. Voer de HDS-setuptool uit om het verwijderingsproces voor de klantorganisaties die zijn verwijderd te voltooien.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Partnerhub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:

    • Aanmeldgegevens database

    • Certificaatupdates

    • Wijzigingen in autorisatiebeleid

  • Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stabiel

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stabiel

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stabiel
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Klik op de pagina ISO-import op Ja.

10

Selecteer uw ISO-bestand in de browser en upload het.

11

Ga naar het tabblad Tenant CMK-beheer . Hier vindt u de volgende drie manieren om tenant-CMK's te beheren.

  • CMK intrekken voor alle organisaties of CMK intrekken - Klik op deze knop in de banner bovenaan het scherm om de CMK's van alle organisaties die zijn verwijderd in te trekken.
  • Klik op de knop CMK's beheren aan de rechterkant van het scherm en klik op CMK's intrekken om de CMK's van alle organisaties die zijn verwijderd in te trekken.
  • Klik op ... in de buurt van de CMK die moet worden ingetrokken status van een specifieke organisatie in de tabel en klik op CMK intrekken om CMK voor die specifieke organisatie in te trekken.
12

Wanneer CMK-intrekking is gelukt, wordt de klantorganisatie niet meer in de tabel weergegeven.

13

Als de CMK-intrekking mislukt, wordt een fout weergegeven.

Uw implementatie voor hybride databeveiliging testen

Uw implementatie van hybride databeveiliging testen

Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging met meerdere tenants te testen.

Voordat u begint

  • Stel uw implementatie voor hybride databeveiliging met meerdere tenants in.

  • Zorg ervoor dat u toegang hebt tot het syslog om te controleren of belangrijke verzoeken naar uw implementatie van hybride databeveiliging met meerdere tenants worden doorgegeven.

1

Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de gebruikers van de klantorganisatie en maak vervolgens een ruimte.

Als u de implementatie voor hybride databeveiliging deactiveert, is inhoud in ruimten die gebruikers maken niet meer toegankelijk zodra de kopieën in de cache van de client van de coderingssleutels zijn vervangen.

2

Verzend berichten naar de nieuwe ruimte.

3

Controleer de syslog-uitvoer om te verifiëren of de sleutelverzoeken naar uw implementatie voor hybride databeveiliging gaan.

  1. Als u wilt controleren of een gebruiker eerst een beveiligd kanaal naar de KMS instelt, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

    U vindt een vermelding als het volgende (identifiers shortened for readability):
    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_SLEUTEL_VERZAMELING, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. Als u wilt controleren of een gebruiker een bestaande sleutel van de KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. Als u wilt controleren of een gebruiker een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
  4. Als u wilt controleren of een gebruiker een nieuw KMS Resource Object (KRO) aanvraagt wanneer een omgeving of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] ontvangen, apparaatId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hybride databeveiliging controleren

Een statusindicator in Partnerhub geeft aan of alles in orde is met de implementatie van hybride databeveiliging met meerdere tenants. Als u proactief belt, meldt u zich aan voor e-mailmeldingen. U wordt geïnformeerd wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
1

Selecteer in Partnerhub de optie Services in het menu aan de linkerkant van het scherm.

2

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Instellingen bewerken.

De pagina Instellingen hybride databeveiliging wordt weergegeven.
3

Typ in het gedeelte E-mailmeldingen een of meer door komma's gescheiden e-mailadressen en druk op Enter.

Uw HDS-implementatie beheren

HDS-implementatie beheren

Gebruik de taken die hier worden beschreven om uw implementatie van hybride databeveiliging te beheren.

Planning van clusterupgrade instellen

Software-upgrades voor hybride databeveiliging worden automatisch op clusterniveau uitgevoerd, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens de upgradeplanning voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie het cluster handmatig vóór het geplande tijdstip van de upgrade te upgraden. U kunt een specifiek upgradeschema instellen of het standaardschema gebruiken van 3:00 uur Dagelijks in de Verenigde Staten: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

De upgradeplanning instellen:

1

Meld u aan bij Partner Hub.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices hybride databeveiliging en klik op Instellen

4

Selecteer het cluster op de pagina Resources hybride databeveiliging.

5

Klik op het tabblad Clusterinstellingen .

6

Selecteer op de pagina Clusterinstellingen bij Upgradeplanning de tijd en tijdzone voor de upgradeplanning.

Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen tot de volgende dag door op 24 uur uitstellen te klikken.

De knooppuntconfiguratie wijzigen

Soms moet u de configuratie van uw knooppunt voor hybride databeveiliging wijzigen vanwege een bijvoorbeeld:
  • X.509-certificaten wijzigen vanwege vervaldatum of andere redenen.

    We ondersteunen het wijzigen van de CN-domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om de cluster te registreren.

  • Database-instellingen bijwerken om te wijzigen in een kopie van de PostgreSQL- of Microsoft SQL Server-database.

    We ondersteunen het migreren van gegevens van PostgreSQL naar Microsoft SQL Server niet, of op de omgekeerde manier. Als u wilt schakelen tussen de databaseomgevingen, moet u een nieuwe implementatie van hybride databeveiliging starten.

  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

Bovendien gebruikt Hybride databeveiliging voor beveiligingsdoeleinden wachtwoorden voor serviceaccounts die een levensduur van negen maanden hebben. Nadat de HDS-setuptool deze wachtwoorden heeft gegenereerd, implementeert u deze in uw HDS-knooppunten in het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een melding van het Webex-team om het wachtwoord voor uw machineaccount opnieuw in te stellen. (Het e-mailbericht bevat de tekst: 'Gebruik het machineaccount API om het wachtwoord bij te werken.') Als uw wachtwoord nog niet is verlopen, geeft de tool u twee opties:

  • Zachte reset: de oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO-bestand op de knooppunten stapsgewijs te vervangen.

  • Harde reset: de oude wachtwoorden werken niet direct meer.

Als uw wachtwoorden verlopen zonder opnieuw in te stellen, is dit van invloed op uw HDS-service, waarvoor onmiddellijke harde reset en vervanging van het ISO-bestand op alle knooppunten nodig is.

Gebruik deze procedure om een nieuw ISO-configuratiebestand te genereren en dit toe te passen op uw cluster.

Voordat u begint

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de referenties van een Partnerhub-account met volledige partnerbeheerdersrechten vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container in 1.e opent. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://SERVER_IP:POORT

    HTTPS-proxy zonder verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:POORT

    HTTP-proxy met verificatie

    GLOBALE_AGENT_HTTP_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

    HTTPS-proxy met verificatie

    GLOBALE_AGENT_HTTPS_PROXY=http://GEBRUIKERSNAAM:PASSWORD@SERVER_IP:POORT

  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel voor de versleuteling van PostgreSQL of Microsoft SQL Server-database. U hebt de ISO nodig wanneer u configuratiewijzigingen aan aanbrengen, waaronder databasereferenties, certificaatupdates of wijzigingen aan autorisatiebeleid.

1

Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

  1. Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

    In normale omgevingen:

    docker rmi ciscocitg/hds-setup:stabiel

    In FedRAMP-omgevingen:

    docker rmi ciscocitg/hds-setup-fedramp:stabiel

    Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

  2. Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

    docker login -u hdscustomersro
  3. Voer bij de wachtwoordprompt deze hash in:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Download de nieuwste stabiele afbeelding voor uw omgeving:

    In normale omgevingen:

    docker pull ciscocitg/hds-setup:stabiel

    In FedRAMP-omgevingen:

    docker pull ciscocitg/hds-setup-fedramp:stabiel

    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 hebben niet de schermen voor het opnieuw instellen van wachtwoorden.

  5. Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

    • In normale omgevingen zonder proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • In normale omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In normale omgevingen met HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In FedRAMP-omgevingen zonder een proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBALE_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.

    De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

  7. Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de klant van uw Partnerhub in en klikt u vervolgens op Accepteren om door te gaan.

  8. Importeer het huidige ISO-configuratiebestand.

  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

    Als u de setuptool wilt afsluiten, typt u CTRL+C.

  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

2

Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor hybride databeveiliging en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

  1. Installeer de HDS-host-OVA.

  2. Stel de HDS-VM in.

  3. Koppel het bijgewerkte configuratiebestand.

  4. Registreer het nieuwe knooppunt in Partnerhub.

3

Voor bestaande HDS-knooppunten waar het oudere configuratiebestand op wordt uitgevoerd, moet u het ISO-bestand onder brengen. Voer de volgende procedure uit op elk knooppunt. Werk elk knooppunt bij voordat u het volgende knooppunt uit schakelen:

  1. Schakel de virtuele machine uit.

  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  3. Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

  4. Schakel het selectievakje Verbinding maken na inschakelen in.

  5. Sla uw wijzigingen op en schakel de virtuele machine in.

4

Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

Geblokkeerde externe DNS-omzettingsmodus uitschakelen

Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. Als de DNS-server van het knooppunt geen publieke DNS-namen kan omzetten, wordt het knooppunt automatisch in de geblokkeerde externe DNS-omzettingsmodus geplaatst.

Als uw knooppunten publieke DNS-namen kunnen omzetten via interne DNS-servers, kunt u deze modus uitschakelen door de proxy verbindingstest opnieuw uit te voeren op elk knooppunt.

Voordat u begint

Zorg ervoor dat uw interne DNS-servers publieke DNS-namen kunnen omzetten en dat uw knooppunten met hen kunnen communiceren.
1

Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/setup, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt instelt en klik vervolgens op Aanmelden.

2

Ga naar overzicht (de standaardpagina).

Indien ingeschakeld, wordt de geblokkeerde externe DNS-omzetting ingesteld op Ja.

3

Ga naar de pagina vertrouwde winkel >-proxy .

4

Klik op proxy verbinding controleren.

Als er een bericht wordt weergegeven met de melding dat de externe DNS-omzetting niet is geslaagd, is het knooppunt niet in staat om de DNS-server te bereiken en blijft deze in deze modus. Anders moet de geblokkeerde externe DNS-omzetting worden ingesteld op Nee als u het knooppunt opnieuw hebt opgestart en teruggaat naar de overzichtspagina.

De volgende stappen

Herhaal de proxy verbindingstest op elk knooppunt in uw cluster voor hybride data beveiliging.

Een knooppunt verwijderen

Gebruik deze procedure om een knooppunt voor hybride databeveiliging te verwijderen uit de Webex-cloud. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
1

Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en schakel de virtuele machine uit.

2

Verwijder het knooppunt:

  1. Meld u aan bij Partnerhub en selecteer Services.

  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources hybride databeveiliging weer te geven.

  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

  4. Klik op het knooppunt dat u wilt verwijderen.

  5. Klik op Dit knooppunt afmelden in het deelvenster dat aan de rechterkant wordt weergegeven

  6. U kunt de registratie van het knooppunt ook ongedaan maken door te klikken op … aan de rechterkant van het knooppunt en Dit knooppunt verwijderen te selecteren.

3

Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

Als u de VM niet verwijdert, vergeet dan niet om het ISO-configuratiebestand te ontkoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken voor toegang tot uw beveiligingsgegevens.

Noodherstel met behulp van stand-bydatacenter

De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt om berichten en andere inhoud die is opgeslagen in de Webex-cloud te coderen. Voor elke gebruiker in de organisatie die is toegewezen aan hybride databeveiliging, worden aanvragen voor het maken van nieuwe sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de gemaakte sleutels aan alle gebruikers die bevoegd zijn om deze op te halen, bijvoorbeeld leden van een gespreksruimte.

Omdat het cluster de kritieke functie uitvoert voor het leveren van deze sleutels, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden onderhouden. Verlies van de database voor hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van klantinhoud. Om dergelijk verlies te voorkomen, zijn de volgende praktijken verplicht:

Als de HDS-implementatie in het primaire datacenter niet beschikbaar wordt door een ramp, volgt u deze procedure om handmatig failover naar het stand-bydatacenter te maken.

Voordat u begint

De registratie van alle knooppunten van Partnerhub ongedaan maken, zoals vermeld in Een knooppunt verwijderen. Gebruik het nieuwste ISO-bestand dat is geconfigureerd voor de knooppunten van het cluster dat eerder actief was, om de hieronder vermelde failoverprocedure uit te voeren.
1

Start de HDS-setuptool en volg de stappen die worden vermeld in Een configuratie-ISO voor de HDS-hosts maken.

2

Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

3

Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

4

Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

5

Klik op Instellingen bewerken >CD/DVD-station 1 en selecteer ISO-gegevensopslagbestand.

Zorg ervoor dat Verbonden en Verbinding maken bij inschakelen zijn ingeschakeld, zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

6

Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 15 minuten geen alarmen zijn.

7

Registreer het knooppunt in Partnerhub. Raadpleeg Het eerste knooppunt in het cluster registreren.

8

Herhaal het proces voor elk knooppunt in het stand-bydatacenter.

De volgende stappen

Als het primaire datacenter na failover weer actief wordt, verwijdert u de registratie van de knooppunten van het stand-bydatacenter en herhaalt u het proces van configuratie van de ISO en registratie van de knooppunten van het primaire datacenter, zoals hierboven vermeld.

(Optioneel) ISO ontkoppelen na HDS-configuratie

De standaard HDS-configuratie wordt uitgevoerd met de aangekoppelde ISO. Sommige klanten geven er echter de voorkeur aan dat ISO-bestanden niet continu worden gekoppeld. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

U gebruikt nog steeds de ISO-bestanden om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de setuptool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra alle knooppunten de configuratiewijzigingen hebben opgehaald, kunt u de ISO opnieuw loskoppelen met deze procedure.

Voordat u begint

Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

1

Sluit een van uw HDS-knooppunten af.

2

Selecteer het HDS-knooppunt in het vCenter Server Appliance.

3

Kies Instellingen bewerken > CD/DVD-station en schakel ISO-gegevensopslagbestand uit.

4

Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 20 minuten geen alarmen zijn.

5

Herhaal om de beurt voor elk HDS-knooppunt.

Problemen met hybride databeveiliging oplossen

Waarschuwingen weergeven en problemen oplossen

Een implementatie van Hybride databeveiliging wordt als niet beschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als de cluster zo langzaam werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

  • Er kunnen geen nieuwe ruimten worden gemaakt (kan geen nieuwe sleutels maken)

  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

    • Nieuwe gebruikers die aan een ruimte zijn toegevoegd (kunnen geen sleutels ophalen)

    • Bestaande gebruikers in een ruimte met een nieuwe client (kunnen geen sleutels ophalen)

  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

Het is belangrijk dat u uw cluster voor hybride databeveiliging goed controleert en alle waarschuwingen onmiddellijk adresseert om onderbreking van de service te voorkomen.

Waarschuwingen

Als er een probleem is met de configuratie van hybride databeveiliging, geeft Partnerhub waarschuwingen weer aan de organisatiebeheerder en verzendt u e-mails naar het geconfigureerde e-mailadres. De waarschuwingen behandelen veel algemene scenario's.

Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

Waarschuwen

Actie

Lokale databasetoegang mislukt.

Controleer op databasefouten of problemen met het lokale netwerk.

Verbinding met lokale database mislukt.

Controleer of de databaseserver beschikbaar is en of de juiste referenties van het serviceaccount zijn gebruikt in de knooppuntconfiguratie.

Toegang tot cloudservice mislukt.

Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Vereisten voor externe connectiviteit.

De registratie van cloudservice wordt verlengd.

Registratie bij cloudservices is verbroken. De registratie wordt verlengd.

Registratie van cloudservice verbroken.

Registratie bij cloudservices is beëindigd. Service wordt afgesloten.

Service nog niet geactiveerd.

HDS activeren in Partnerhub.

Het geconfigureerde domein komt niet overeen met het servercertificaat.

Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

De meest waarschijnlijke oorzaak is dat de algemene naam van het certificaat onlangs is gewijzigd en nu anders is dan de algemene naam die tijdens de eerste installatie is gebruikt.

Kan niet verifiëren bij cloudservices.

Controleer op de nauwkeurigheid en mogelijke vervaldatum van de referenties van het serviceaccount.

Openen van lokaal keystore-bestand is mislukt.

Controleer op integriteit en wachtwoordnauwkeurigheid in het lokale keystore-bestand.

Het lokale servercertificaat is ongeldig.

Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

Kan statistieken niet plaatsen.

Controleer de toegang van het lokale netwerk tot externe cloudservices.

De map /media/configdrive/hds bestaat niet.

Controleer de ISO-koppelconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om te koppelen bij opnieuw opstarten en of het met succes wordt gekoppeld.

De tenantorganisatie-instellingen zijn niet voltooid voor de toegevoegde organisaties

Voltooi de installatie door CMK's te maken voor nieuw toegevoegde tenantorganisaties met de HDS-setuptool.

De tenantorganisatie is niet voltooid voor de verwijderde organisaties

Voltooi de installatie door CMK's van tenantorganisaties die zijn verwijderd met de HDS-setuptool in te trekken.

Problemen met hybride databeveiliging oplossen

Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met Hybride databeveiliging.
1

Controleer Partnerhub voor waarschuwingen en los alle items op die u daar vindt. Zie de afbeelding hieronder ter referentie.

2

Controleer de uitvoer van de Syslog-server voor activiteit van de implementatie van hybride databeveiliging. Filter op woorden als 'Waarschuwing' en 'Fout' om problemen op te lossen.

3

Neem contact op met Cisco-ondersteuning.

Overige opmerkingen

Bekende problemen voor hybride databeveiliging

  • Als u uw cluster voor hybride databeveiliging afsluit (door deze te verwijderen in Partner Hub of door alle knooppunten te sluiten), uw ISO-configuratiebestand te verliezen of de toegang tot de keystore-database te verliezen, kunnen gebruikers van de Webex-app van klantorganisaties niet langer ruimten gebruiken onder hun lijst Personen die zijn gemaakt met sleutels van uw KMS. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en we verzoeken u dringend uw HDS-services niet te beëindigen zodra deze actieve gebruikersaccounts afhandelen.

  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een bepaalde tijd (waarschijnlijk één uur).

OpenSSL gebruiken om een PKCS12-bestand te genereren

Voordat u begint

  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS-setuptool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten de ene weg niet boven de andere.

  • Als u ervoor kiest OpenSSL te gebruiken, bieden we deze procedure als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

  • Maak een privésleutel.

  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificerende instantie (CA).

1

Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

2

Geef het certificaat weer als tekst en verifieer de details.

openssl x509 -text -noout -in hdsnode.pem

3

Gebruik een tekstverwerker om een certificaatbundelbestand met de naam hdsnode-bundle.pem te maken. Het bundelbestand moet het servercertificaat, eventuele tussenliggende CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

----BEGIN CERTIFICATE------ ### Servercertificaat. ### -----END CERTIFICATE----------BEGIN CERTIFICATE----- ### Tussenliggend CA-certificaat. ### ----END CERTIFICATE----------BEGIN CERTIFICATE----- ### Basis CA-certificaat. ### -----END CERTIFICATE-----

4

Maak het .p12-bestand met de beschrijvende naam kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -naam kms-private-key -caname kms-private-key -out hdsnode.p12

5

Controleer de details van het servercertificaat.

  1. openssl pkcs12 -in hdsnode.p12

  2. Voer bij de prompt een wachtwoord in om de privésleutel te coderen zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de regels bevatten friendlyName: kms-privésleutel.

    Voorbeeld:

    bash$ openssl pkcs12 -in hdsnode.p12 Voer importwachtwoord in: Mac heeft OK Bag Attributes geverifieerd friendlyName: kms-privésleutel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Sleutelkenmerken:  Voer de PEM-wachtwoordzin in: Verifiëren - Voer de PEM-wachtwoordzin in: -----BEGIN ENCRYPTED PRIVATE KEY-----  -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-privésleutel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE-----

De volgende stappen

Keer terug naar Aan de vereisten voor hybride databeveiliging voldoen. U gebruikt het bestand hdsnode.p12 en het wachtwoord dat u ervoor hebt ingesteld in Een configuratie-ISO voor de HDS-hosts maken.

U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

Verkeer tussen de HDS-knooppunten en de cloud

Verzamelverkeer uitgaande statistieken

De knooppunten voor hybride databeveiliging verzenden bepaalde statistieken naar de Webex-cloud. Hieronder vallen systeemstatistieken voor max. heap, gebruikte heap, CPU-belasting en threadtelling; statistieken op synchrone en asynchrone threads; statistieken over waarschuwingen met een drempel voor coderingsverbindingen, latentie of een aanvraagwachtrijlengte; statistieken in de gegevensopslag; en statistieken voor coderingsverbinding. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (afzonderlijk van het verzoek) kanaal.

Inkomend verkeer

De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer van de Webex-cloud:

  • Coderingsverzoeken van clients, die door de coderingsservice worden gerouteerd

  • Upgrades van de knooppuntsoftware

Het configureren van inktvis-Proxy's voor hybride data beveiliging

WebSocket kan geen verbinding maken via de inktvis-proxy

Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:) verstoren die vereist zijn voor hybride databeveiliging. Deze secties bevatten leidraden voor het configureren van verschillende versies van inktvis om WSS te negeren: verkeer voor de juiste werking van de services.

Pijlinktvis 4 en 5

Voeg de on_unsupported_protocol richtlijn toe aan squid.conf:

on_unsupported_protocol alles tunnel

Inktvis 3.5.27

De hybride gegevensbeveiliging is getest met de volgende regels die zijn toegevoegd aan inktvis. conf. Deze regels kunnen worden gewijzigd wanneer we functies ontwikkelen en de Webex Cloud bijwerken.

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl stap1 at_step SslBump1 acl stap2 at_step SslBump2 acl stap3 at_step SslBump3 ssl_bump bekijk stap1 alle ssl_bump staren stap2 alle ssl_bump bump stap3 alle

Nieuwe en gewijzigde informatie

Nieuwe en gewijzigde informatie

Deze tabel bevat nieuwe functies of functionaliteiten, wijzigingen in bestaande inhoud en belangrijke fouten die zijn opgelost in de Implementatiehandleiding voor hybride databeveiliging met meerdere tenants.

Datum

Wijzigingen aangebracht

4 maart 2025

30 januari 2025

SQL-serverversie 2022 toegevoegd aan de lijst met ondersteunde SQL-servers in Vereisten voor databaseserver.

15 januari 2025

Beperkingen van hybride databeveiliging met meerdere tenants toegevoegd.

8 januari 2025

Er is een opmerking toegevoegd in Eerste installatie uitvoeren en installatiebestanden downloaden waarin staat dat het klikken op Instellen op de HDS-kaart in Partner Hub een belangrijke stap is in het installatieproces.

7 januari 2025

Bijgewerkte vereisten voor virtuele host, taakstroom voor implementatie van hybride databeveiliging en installeer de HDS-host-OVA om de nieuwe ESXi 7.0-vereiste weer te geven.

13 december 2024

Eerst gepubliceerd.

Hybride databeveiliging met meerdere tenants deactiveren

Taakstroom voor deactivering van HDS met meerdere tenants

Volg deze stappen om HDS met meerdere tenants volledig te deactiveren.

Voordat u begint

Deze taak mag alleen worden uitgevoerd door een volledige partnerbeheerder.
1

Verwijder alle klanten uit al uw clusters, zoals vermeld in Tenantorganisaties verwijderen.

2

Trek de CMK's van alle klanten in, zoals vermeld in CMK's van tenants die zijn verwijderd uit HDS intrekken..

3

Verwijder alle knooppunten uit al uw clusters, zoals vermeld in Een knooppunt verwijderen.

4

Verwijder al uw clusters uit Partnerhub met een van de volgende twee methoden.

  • Klik op het cluster dat u wilt verwijderen en selecteer Dit cluster verwijderen in de rechterbovenhoek van de overzichtspagina.
  • Klik op de pagina Resources op ... aan de rechterkant van een cluster en selecteer Cluster verwijderen.
5

Klik op het tabblad Instellingen op de overzichtspagina Hybride databeveiliging en klik op HDS deactiveren op de HDS-statuskaart.

Aan de slag met hybride databeveiliging voor meerdere tenants

Overzicht van hybride databeveiliging met meerdere tenants

Vanaf dag één is gegevensbeveiliging de primaire focus geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end-inhoudscodering, ingeschakeld door clients van de Webex-app die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografiesleutels die clients gebruiken om berichten en bestanden dynamisch te coderen en te decoderen.

Standaard krijgen alle klanten van de Webex-app end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in de beveiligingsruimte van Cisco. Hybride databeveiliging verplaatst de KMS en andere beveiligingsgerelateerde functies naar uw bedrijfsdatacenter, dus niemand maar u beschikt over de sleutels voor uw gecodeerde inhoud.

Met Hybride databeveiliging voor meerdere tenants kunnen organisaties HDS gebruiken via een vertrouwde lokale partner, die kan optreden als serviceprovider en codering en andere beveiligingsservices op locatie kan beheren. Met deze instelling kan de partnerorganisatie volledige controle hebben over de implementatie en het beheer van coderingssleutels en zorgen ervoor dat gebruikersgegevens van klantorganisaties veilig zijn tegen externe toegang. Partnerorganisaties stellen HDS-instanties in en maken indien nodig HDS-clusters. Elk exemplaar kan meerdere klantorganisaties ondersteunen, in tegenstelling tot een reguliere HDS-implementatie die beperkt is tot één organisatie.

Hoewel partnerorganisaties de implementatie en het beheer onder controle hebben, hebben ze geen toegang tot gegevens en inhoud die door klanten zijn gegenereerd. Deze toegang is beperkt tot klantorganisaties en hun gebruikers.

Hierdoor kunnen kleinere organisaties ook HDS gebruiken, omdat sleutelbeheerservice en beveiligingsinfrastructuur zoals datacenters eigendom zijn van de vertrouwde lokale partner.

Hoe hybride databeveiliging met meerdere tenants gegevenssoevereiniteit en gegevenscontrole biedt

  • Door gebruikers gegenereerde inhoud wordt beschermd tegen externe toegang, zoals cloudserviceproviders.
  • Lokale vertrouwde partners beheren de coderingssleutels van klanten met wie ze al een bestaande relatie hebben.
  • Optie voor lokale technische ondersteuning, indien verstrekt door de partner.
  • Ondersteunt inhoud voor vergaderingen, berichten en gesprekken.

Dit document is bedoeld om partnerorganisaties te helpen bij het instellen en beheren van klanten onder een systeem voor hybride databeveiliging met meerdere tenants.

Beperkingen van hybride databeveiliging met meerdere tenants

  • Partnerorganisaties mogen geen bestaande HDS-implementatie actief hebben in Control Hub.
  • Tenant- of klantorganisaties die door een partner willen worden beheerd, mogen geen bestaande HDS-implementatie hebben in Control Hub.
  • Zodra Multi-tenant HDS door de partner is geïmplementeerd, gaan alle gebruikers van klantorganisaties en gebruikers van de partnerorganisatie gebruikmaken van Multi-tenant HDS voor hun coderingsservices.

    De partnerorganisatie en klantorganisaties die zij beheren, bevinden zich in dezelfde HDS-implementatie voor meerdere tenants.

    De partnerorganisatie gebruikt geen Cloud KMS meer nadat een multi-tenant-HDS is geïmplementeerd.

  • Er is geen mechanisme om sleutels terug te verplaatsen naar Cloud KMS na een HDS-implementatie.
  • Momenteel kan elke HDS-implementatie met meerdere tenants slechts één cluster hebben, met meerdere knooppunten eronder.
  • Beheerdersrollen hebben bepaalde beperkingen. Zie het onderstaande gedeelte voor meer informatie.

Rollen in hybride databeveiliging met meerdere tenants

  • Volledige partnerbeheerder : kan instellingen beheren voor alle klanten die de partner beheert. Kan ook beheerdersrollen toewijzen aan bestaande gebruikers in de organisatie en specifieke klanten toewijzen die moeten worden beheerd door partnerbeheerders.
  • Partnerbeheerder : kan instellingen beheren voor klanten die door de beheerder zijn ingericht of die aan de gebruiker zijn toegewezen.
  • Volledige beheerder - Beheerder van de partnerorganisatie die bevoegd is om taken uit te voeren zoals het wijzigen van organisatie-instellingen, het beheren van licenties en het toewijzen van rollen.
  • End-to-end installatie en beheer van alle klantorganisaties met meerdere tenants : volledige partnerbeheerder en volledige beheerdersrechten vereist.
  • Beheer van toegewezen tenantorganisaties : partnerbeheerders en volledige beheerdersrechten vereist.

Architectuur beveiligingsrealm

De Webex-cloudarchitectuur scheidt verschillende typen services in verschillende realms of vertrouwensdomeinen, zoals hieronder afgebeeld.

Gescheiden ruimten (zonder hybride databeveiliging)

Laten we voor meer informatie over hybride databeveiliging eerst naar deze pure cloudcase kijken, waarbij Cisco alle functies in zijn clouddomeinen biedt. De identiteitsservice, de enige plaats waar gebruikers rechtstreeks gecorreleerd kunnen worden met hun persoonlijke informatie, zoals hun e-mailadres, staat logischerwijs en fysiek los van de beveiligingsruimte in datacenter B. Beide staan op hun beurt los van de ruimte waar gecodeerde inhoud uiteindelijk wordt opgeslagen, in datacenter C.

In dit diagram is de client de Webex-app die op de laptop van een gebruiker wordt uitgevoerd en is de identiteitsservice geverifieerd. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, worden de volgende stappen uitgevoerd:

  1. De client brengt een beveiligde verbinding tot stand met de sleutelbeheerservice (KMS) en vraagt vervolgens een sleutel aan om het bericht te coderen. De beveiligde verbinding gebruikt ECDH en de KMS codeert de sleutel met een AES-256-hoofdsleutel.

  2. Het bericht wordt gecodeerd voordat het de client verlaat. De client verzendt deze naar de indexeringsservice, die gecodeerde zoekindexen maakt om te helpen bij toekomstige zoekopdrachten naar de inhoud.

  3. Het gecodeerde bericht wordt naar de nalevingsservice verzonden voor nalevingscontroles.

  4. Het gecodeerde bericht wordt opgeslagen in de opslagrealm.

Wanneer u hybride databeveiliging implementeert, verplaatst u de functies van de beveiligingsregio (KMS, indexering en naleving) naar uw datacenter op locatie. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven in de rijken van Cisco.

Samenwerken met andere organisaties

Gebruikers in uw organisatie kunnen regelmatig de Webex-app gebruiken om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is gemaakt door een van uw gebruikers), verzendt uw KMS de sleutel naar de client via een beveiligd ECDH-kanaal. Wanneer een andere organisatie echter eigenaar is van de sleutel voor de ruimte, leidt uw KMS het verzoek naar de Webex-cloud via een afzonderlijk ECDH-kanaal om de sleutel van de juiste KMS op te halen. Vervolgens stuurt u de sleutel terug naar uw gebruiker op het oorspronkelijke kanaal.

De KMS-service die op Organisatie A wordt uitgevoerd, valideert de verbindingen met KMS's in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat dat u wilt gebruiken met uw implementatie van hybride databeveiliging met meerdere tenants.

Verwachtingen voor het implementeren van hybride databeveiliging

Een implementatie van Hybride databeveiliging vereist aanzienlijke inzet en een besef van de risico's die verbonden zijn aan het bezitten van coderingssleutels.

Voor het implementeren van hybride databeveiliging moet u het volgende opgeven:

Volledig verlies van de configuratie-ISO die u voor hybride databeveiliging maakt of de database die u opgeeft, leidt tot het verlies van de sleutels. Sleutelverlies voorkomt dat gebruikers ruimte-inhoud en andere gecodeerde gegevens decoderen in de Webex-app. Als dit gebeurt, kunt u een nieuwe implementatie maken, maar is alleen nieuwe inhoud zichtbaar. Om verlies van toegang tot gegevens te voorkomen, moet u:

  • Beheer de back-up en het herstel van de database en de configuratie-ISO.

  • Wees voorbereid om snel noodherstel uit te voeren als zich een catastrofe voordoet, zoals een storing van de databaseselectie of een ramp in een datacenter.

Er is geen mechanisme om sleutels terug naar de cloud te verplaatsen na een HDS-implementatie.

Installatieproces op hoog niveau

In dit document worden de installatie en het beheer van een implementatie van hybride databeveiliging met meerdere tenants behandeld:

  • Hybride databeveiliging instellen: dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van hybride databeveiligingssoftware, het bouwen van een HDS-cluster, het toevoegen van tenantorganisaties aan de cluster en het beheren van hun Customer Main Keys (CMK's). Hiermee kunnen alle gebruikers van uw klantorganisaties uw cluster voor hybride databeveiliging gebruiken voor beveiligingsfuncties.

    De installatie-, activerings- en beheerfasen worden in detail behandeld in de volgende drie hoofdstukken.

  • Uw implementatie van hybride databeveiliging onderhouden: de Webex-cloud biedt automatisch doorlopende upgrades. Uw IT-afdeling kan ondersteuning van niveau één bieden voor deze implementatie en indien nodig contact opnemen met Cisco-ondersteuning. U kunt meldingen op het scherm gebruiken en waarschuwingen op basis van e-mail instellen in Partner Hub.

  • Algemene waarschuwingen, stappen voor het oplossen van problemen en bekende problemen begrijpen: als u problemen ondervindt met het implementeren of gebruiken van hybride databeveiliging, kan het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen bij het bepalen en oplossen van het probleem.

Implementatiemodel voor hybride databeveiliging

In uw bedrijfsdatacenter implementeert u hybride databeveiliging als een enkele cluster knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

Tijdens het installatieproces voorzien we u van het OVA-bestand om het virtuele apparaat in te stellen op de door u geleverde VM's. U gebruikt de HDS-setuptool om een aangepast ISO-bestand voor clusterconfiguratie te maken dat u op elk knooppunt koppelt. Het cluster voor hybride databeveiliging gebruikt uw opgegeven Syslogd-server en PostgreSQL- of Microsoft SQL Server-database. (U configureert de Syslogd- en databaseverbindingsgegevens in de HDS-setuptool.)

Implementatiemodel voor hybride databeveiliging

Het minimum aantal knooppunten dat u in een cluster kunt hebben, is twee. We raden ten minste drie per cluster aan. Het hebben van meerdere knooppunten zorgt ervoor dat de service niet wordt onderbroken tijdens een software-upgrade of andere onderhoudsactiviteiten op een knooppunt. (De Webex-cloud werkt slechts één knooppunt tegelijk bij.)

Alle knooppunten in een cluster hebben toegang tot dezelfde belangrijke gegevensopslag en logboekactiviteit tot dezelfde syslog-server. De knooppunten zelf zijn staatloos en handelen sleutelverzoeken af op ronde-robin-manier, zoals aangegeven door de cloud.

Knooppunten worden actief wanneer u ze registreert in Partner Hub. Als u een afzonderlijk knooppunt uit dienst wilt nemen, kunt u de registratie ongedaan maken en later indien nodig opnieuw registreren.

Stand-by-datacenter voor noodherstel

Tijdens de implementatie stelt u een beveiligd stand-by datacenter in. In het geval van een datacenterramp kunt u de implementatie handmatig naar het stand-bydatacenter mislukken.

Vóór de failover heeft Datacenter A actieve HDS-knooppunten en de primaire PostgreSQL- of Microsoft SQL-serverdatabase, terwijl B een kopie heeft van het ISO-bestand met aanvullende configuraties, VM's die bij de organisatie zijn geregistreerd en een stand-bydatabase. Na failover heeft datacenter B actieve HDS-knooppunten en de primaire database, terwijl A niet-geregistreerde VM's en een kopie van het ISO-bestand heeft en de database in de stand-bymodus staat.
Handmatig failover naar stand-bydatacenter

De databases van de actieve en stand-bydatacenters zijn gesynchroniseerd met elkaar, waardoor de tijd die nodig is om de failover uit te voeren, wordt geminimaliseerd.

De actieve knooppunten voor hybride databeveiliging moeten zich altijd in hetzelfde datacenter bevinden als de actieve databaseserver.

Proxy ondersteuning

Hybride gegevensbeveiliging biedt ondersteuning voor expliciete, transparante inspectie en het niet-geïnspecteerde proxy's. U kunt deze proxy's koppelen aan uw implementatie zodat u verkeer van de onderneming kunt beveiligen en controleren naar de Cloud. U kunt een platformbeheer interface gebruiken op de knooppunten voor certificaatbeheer en de algehele verbindingsstatus controleren nadat u de proxy op de knooppunten hebt ingesteld.

De knooppunten voor hybride data beveiliging ondersteunen de volgende proxy opties:

  • Geen proxy: de standaard als u het HDS-knooppunt niet gebruikt, stelt u de vertrouwensarchief- en proxyconfiguratie in om een proxy te integreren. Er is geen certificaat update vereist.

  • Transparante proxy zonder inspectie: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres en hoeven geen wijzigingen te vereisen om te werken met een proxy zonder inspectie. Er is geen certificaat update vereist.

  • Transparent tunneling of inspecting proxy: de knooppunten zijn niet geconfigureerd voor het gebruik van een specifiek proxyserveradres. Er zijn geen HTTP-of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).

  • Expliciete proxy: met expliciete proxy geeft u de HDS-knooppunten aan welke proxyserver en verificatieschema moeten worden gebruikt. Als u een expliciete proxy wilt configureren, moet u op elk knooppunt de volgende informatie invoeren:

    1. Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.

    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.

    3. Proxyprotocol: afhankelijk van wat uw proxyserver ondersteunt, kiest u tussen de volgende protocollen:

      • HTTP: alle aanvragen die de client verzendt, worden weergegeven en beheerd.

      • HTTPS: geeft een kanaal aan de server. De client ontvangt en valideert het certificaat van de server.

    4. Verificatietype: kies uit de volgende verificatietypen:

      • Geen: geen verdere verificatie is vereist.

        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.

        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

        Alleen beschikbaar als u HTTPS als proxy protocol selecteert.

        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

Voorbeeld van knooppunten en proxy voor hybride data beveiliging

Dit diagram toont een voorbeeld van een verbinding tussen de hybride gegevensbeveiliging, het netwerk en een proxy. Voor de instellingen voor transparant inspecteren en HTTPS expliciet controleren, moeten dezelfde hoofdcertificaat op de proxy en op de knooppunten voor hybride data beveiliging worden geïnstalleerd.

Geblokkeerde externe DNS-omzettingsmodus (expliciete proxy configuraties)

Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. In implementaties met expliciete proxyconfiguraties die geen externe DNS-omzetting voor interne clients toestaan, als het knooppunt de DNS-servers niet kan opvragen, wordt de geblokkeerde externe DNS-omzettingsmodus automatisch ingeschakeld. In deze modus kan de registratie van knooppunten en andere proxy connectiviteitstests worden voortgezet.

Uw omgeving voorbereiden

Vereisten voor hybride databeveiliging met meerdere tenants

Cisco Webex-licentievereisten

Hybride databeveiliging met meerdere tenants implementeren:

  • Partnerorganisaties: Neem contact op met uw Cisco-partner of accountmanager en zorg ervoor dat de functie voor meerdere tenants is ingeschakeld.

  • Tenantorganisaties: U moet het Pro-pakket voor Cisco Webex Control Hub hebben. (Zie https://www.cisco.com/go/pro-pack.)

Vereisten voor Docker Desktop

Voordat u uw HDS-knooppunten installeert, moet u Docker Desktop gebruiken om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie kan een betaald abonnement voor Docker Desktop vereisen. Zie het Docker-blogbericht ' Docker is bezig ons productabonnement bij te werken en uit te breiden' voor meer informatie.

Klanten zonder Docker Desktop-licentie kunnen een open source container management tool zoals Podman Desktop gebruiken om containers uit te voeren, te beheren en te maken. Zie HDS-setuptool uitvoeren met Podman Desktop voor meer informatie.

X.509-certificaatvereisten

De certificaatketen moet aan de volgende vereisten voldoen:

Tabel 1. X.509-certificaatvereisten voor implementatie van hybride databeveiliging

Vereiste

Details

  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

Standaard vertrouwen we de CA's in de lijst met Mozilla (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

  • Draagt een CN-domeinnaam (Common Name) die uw implementatie voor hybride databeveiliging identificeert

  • Is geen wildcardcertificaat

De algemene naam hoeft niet bereikbaar te zijn of een live host te zijn. We raden u aan een naam te gebruiken die overeenkomt met uw organisatie, bijvoorbeeld hds.company.com.

De algemene naam mag geen * (jokerteken) bevatten.

De algemene naam wordt gebruikt om de knooppunten voor hybride databeveiliging te verifiëren naar Webex-app-clients. Alle knooppunten voor hybride databeveiliging in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met het CN-domein, niet elk domein dat is gedefinieerd in de x.509v3 SAN-velden.

Wanneer u een knooppunt met dit certificaat hebt geregistreerd, bieden we geen ondersteuning voor het wijzigen van de CN-domeinnaam.

  • Niet-SHA1-handtekening

De KMS-software biedt geen ondersteuning voor SHA1-handtekeningen voor het valideren van verbindingen met KMS's van andere organisaties.

  • Opgemaakt als een met een wachtwoord beveiligd PKCS #12-bestand

  • Gebruik de beschrijvende naam van kms-private-key om het certificaat, de privésleutel en eventuele aanvullende certificaten te taggen om te uploaden.

U kunt een conversieprogramma zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

U moet het wachtwoord invoeren wanneer u de HDS-setuptool uitvoert.

De KMS-software dwingt geen beperkingen op het sleutelgebruik of het uitgebreide sleutelgebruik af. Sommige certificeringsinstanties vereisen dat uitgebreide gebruiksbeperkingen voor elk certificaat worden toegepast, zoals serververificatie. Het is oké om de serververificatie of andere instellingen te gebruiken.

Vereisten voor virtuele host

De virtuele hosts die u als knooppunten voor hybride databeveiliging in uw cluster instelt, hebben de volgende vereisten:

  • Ten minste twee afzonderlijke hosts (3 aanbevolen) die zich samen in hetzelfde beveiligde datacenter bevinden

  • VMware ESXi 7.0 (of hoger) is geïnstalleerd en wordt uitgevoerd.

    Als u een eerdere versie van ESXi hebt, moet u upgraden.

  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

Vereisten voor databaseserver

Maak een nieuwe database voor sleutelopslag. Gebruik de standaarddatabase niet. De HDS-toepassingen maken na installatie het databaseschema.

Er zijn twee opties voor databaseserver. De vereisten voor elk ervan zijn als volgt:

Tabel 2. Vereisten voor databaseserver per type database

PostgreSQL

Microsoft SQL-server

  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

  • SQL Server 2016, 2017, 2019 of 2022 (Enterprise of Standaard) geïnstalleerd.

    SQL Server 2016 vereist Service Pack 2 en cumulatieve update 2 of hoger.

Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten)

Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende ruimte op de harde schijf en controle om ervoor te zorgen dat dit niet wordt overschreden (2 TB aanbevolen als u de database lange tijd wilt uitvoeren zonder de opslag te vergroten)

De HDS-software installeert momenteel de volgende stuurprogrammaversies voor communicatie met de databaseserver:

PostgreSQL

Microsoft SQL-server

Postgres JDBC driver 42.2.5

SQL Server JDBC-stuurprogramma 4.6

Deze stuurprogrammaversie ondersteunt SQL Server Always On (Always On Failover-clusterinstanties en Always On-beschikbaarheidsgroepen).

Aanvullende vereisten voor Windows-verificatie met Microsoft SQL Server

Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie nodig in uw omgeving:

  • De HDS-knooppunten, de Active Directory-infrastructuur en MS SQL Server moeten allemaal worden gesynchroniseerd met NTP.

  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet lees- en schrijftoegang hebben tot de database.

  • De DNS-servers die u aan HDS-knooppunten verstrekt, moeten uw Key Distribution Center (KDC) kunnen oplossen.

  • U kunt het exemplaar van de HDS-database op uw Microsoft SQL-server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Een hoofdnaam voor de service registreren voor Kerberos-verbindingen.

    De HDS-setuptool, HDS-launcher en lokale KMS moeten allemaal Windows-verificatie gebruiken om toegang te krijgen tot de keystore-database. Ze gebruiken de details uit uw ISO-configuratie om de SPN te maken wanneer ze toegang aanvragen met Kerberos-verificatie.

Vereisten voor externe connectiviteit

Configureer uw firewall om de volgende connectiviteit voor de HDS-toepassingen toe te staan:

Toepassing

Protocol

Poort

Richting vanuit app

Bestemming

Knooppunten voor hybride databeveiliging

TCP

443

Uitgaande HTTPS en WSS

  • Webex-servers:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-hosts

  • Andere URL's die voor hybride databeveiliging worden vermeld in de tabel Aanvullende URL's voor hybride Webex-services met Netwerkvereisten voor Webex-services

HDS-setuptool

TCP

443

Uitgaande HTTPS

  • *.wbx2.com

  • Alle Common Identity-hosts

  • hub.docker.com

De knooppunten voor hybride databeveiliging werken met NAT (Network Access Translation) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen met de domeinbestemmingen in de vorige tabel toestaat. Voor verbindingen die inkomend naar de knooppunten voor hybride databeveiliging gaan, mogen er geen poorten zichtbaar zijn vanaf internet. In uw datacenter hebben clients toegang nodig tot de knooppunten voor hybride databeveiliging op TCP-poorten 443 en 22 voor administratieve doeleinden.

De URL's voor de Common Identity-hosts (CI) zijn regiospecifiek. Dit zijn de huidige CI-hosts:

Regio

URL's van host van algemene identiteit

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europese Unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Verenigde Arabische Emiraten
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vereisten voor de proxy server

  • We ondersteunen de volgende proxy oplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride data beveiliging.

    • Transparante proxy: Cisco Web Security Appliance (WSA).

    • Expliciete proxy-pijlinktvis.

      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocket-verbindingen (wss:) verstoren. Zie Squid-proxy's configureren voor hybride databeveiliging om dit probleem te omzeilen.

  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

    • Geen verificatie met HTTP of HTTPS

    • Basisverificatie met HTTP of HTTPS

    • Alleen verificatiesamenvatting met HTTPS

  • Voor een transparante inspectie proxy of een HTTPS-expliciete proxy moet u een kopie van de hoofdcertificaat van de proxy hebben. De implementatie-instructies in deze handleiding geven aan hoe u de kopie kunt uploaden naar de vertrouwens archieven van de hybride Data Security-knooppunten.

  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 af te ronden via de proxy.

  • Proxy's die het webverkeer controleren, kunnen de WebSocket-verbindingen belemmeren. Als dit probleem optreedt, wordt het probleem opgelost door het (niet te inspecteren) verkeer naar wbx2.com en ciscospark.com .

Voldoen aan de vereisten voor hybride databeveiliging

Gebruik deze controlelijst om ervoor te zorgen dat u klaar bent om uw cluster voor hybride databeveiliging te installeren en te configureren.
1

Zorg ervoor dat uw partnerorganisatie de functie Multi-tenant HDS heeft ingeschakeld en haal de referenties op van een account met volledige partnerbeheerder en volledige beheerdersrechten. Zorg ervoor dat uw Webex-klantorganisatie is ingeschakeld voor het Pro-pakket voor Cisco Webex Control Hub. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

Klantorganisaties mogen geen bestaande HDS-implementatie hebben.

2

Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

3

Bereid identieke virtuele hosts voor die u instelt als knooppunten voor hybride databeveiliging in uw cluster. U hebt minimaal twee afzonderlijke hosts (3 aanbevolen) nodig die samen in hetzelfde beveiligde datacenter staan en die voldoen aan de vereisten in Vereisten voor virtuele hosts.

4

Bereid de databaseserver voor die fungeert als de belangrijkste gegevensopslag voor het cluster, volgens de Vereisten van de databaseserver. De databaseserver moet in het beveiligde datacenter samen met de virtuele hosts worden geplaatst.

  1. Maak een database voor sleutelopslag. (U moet deze database maken. Gebruik niet de standaarddatabase. De HDS-toepassingen maken na installatie het databaseschema.)

  2. Verzamel de details die de knooppunten gebruiken om te communiceren met de databaseserver:

    • de hostnaam of het IP-adres (host) en de poort

    • de naam van de database (dbname) voor sleutelopslag

    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de sleutelopslagdatabase

5

Voor snel noodherstel stelt u een back-upomgeving in een ander datacenter in. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld 3 VM's heeft waarop HDS-knooppunten worden uitgevoerd, moet de back-upomgeving 3 VM's hebben.

6

Stel een syslog-host in om logboeken van de knooppunten in het cluster te verzamelen. Verzamel het netwerkadres en de syslog-poort (standaard is UDP 514).

7

Maak een beveiligd back-upbeleid voor de knooppunten voor hybride databeveiliging, de databaseserver en de syslog-host. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de knooppunten voor hybride databeveiliging.

Omdat de knooppunten voor hybride databeveiliging de sleutels opslaan die voor het coderen en decoderen van inhoud worden gebruikt, zal het niet onderhouden van een operationele implementatie leiden tot ONHERSTELBAAR VERLIES van die inhoud.

Webex-app-clients slaan hun sleutels in het cachegeheugen, dus een storing is mogelijk niet direct merkbaar, maar wordt na verloop van tijd duidelijk. Hoewel tijdelijke storingen onmogelijk te voorkomen zijn, zijn ze herstelbaar. Een volledig verlies (er zijn geen back-ups beschikbaar) van de database of het ISO-configuratiebestand zal echter resulteren in onherstelbare klantgegevens. Van de operatoren van de knooppunten voor hybride databeveiliging wordt verwacht dat ze frequente back-ups van de database en het ISO-configuratiebestand bijhouden en dat ze voorbereid zijn om het datacenter voor hybride databeveiliging opnieuw op te bouwen als zich een catastrofale storing voordoet.

8

Zorg ervoor dat uw firewallconfiguratie connectiviteit voor uw knooppunten voor hybride databeveiliging mogelijk maakt, zoals beschreven in Vereisten voor externe connectiviteit.

9

Installeer Docker ( https://www.docker.com) op een lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bits, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die toegang heeft op http://127.0.0.1:8080.

U gebruikt de Docker-instantie om de HDS Setup Tool te downloaden en uit te voeren, waarmee de lokale configuratiegegevens voor alle knooppunten voor hybride databeveiliging worden opgebouwd. Mogelijk hebt u een Docker Desktop-licentie nodig. Zie Vereisten voor Docker-desktops voor meer informatie.

Als u de HDS-setuptool wilt installeren en uitvoeren, moet de lokale machine de verbinding hebben die wordt beschreven in Vereisten voor externe connectiviteit.

10

Als u een proxy integreert met hybride databeveiliging, moet u controleren of deze voldoet aan de vereisten voor de proxyserver.

Een cluster voor hybride databeveiliging instellen

Taakstroom implementatie hybride databeveiliging

Voordat u begint

1

Voer de eerste installatie uit en download installatiebestanden

Download het OVA-bestand naar uw lokale machine voor later gebruik.

2

Een configuratie-ISO voor de HDS-hosts maken

Gebruik de HDS-setuptool om een ISO-configuratiebestand te maken voor de knooppunten voor hybride databeveiliging.

3

De HDS-host-OVA installeren

Maak een virtuele machine met het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.

De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 7.0. Deze optie is mogelijk niet beschikbaar in eerdere versies.

4

VM voor hybride databeveiliging instellen

Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

5

De HDS-configuratie-ISO uploaden en koppelen

Configureer de VM vanuit het ISO-configuratiebestand dat u hebt gemaakt met de HDS-setuptool.

6

Configureer het HDS-knooppunt voor proxy-integratie

Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u het proxycertificaat indien nodig toe aan de vertrouwensopslag.

7

Het eerste knooppunt in het cluster registreren

Registreer de VM bij de Cisco Webex-cloud als knooppunt voor hybride databeveiliging.

8

Meer knooppunten maken en registreren

Voltooi de clustersetup.

9

Activeer HDS met meerdere tenants in Partner Hub.

Activeer HDS en beheer tenantorganisaties in Partner Hub.

Voer de eerste installatie uit en download installatiebestanden

In deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u instelt als knooppunten voor hybride databeveiliging). U kunt dit bestand later in het installatieproces gebruiken.

1

Meld u aan bij Partnerhub en klik vervolgens op Services.

2

Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik vervolgens op Instellen.

Het is essentieel voor het implementatieproces te klikken op Instellen in Partnerhub. Ga niet verder met de installatie zonder deze stap te voltooien.

3

Klik op Een resource toevoegen en klik op OVA-bestand downloaden op de kaart Software installeren en configureren .

Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades voor hybride databeveiliging. Dit kan leiden tot problemen tijdens het upgraden van de toepassing. Zorg ervoor dat u de meest recente versie van het OVA-bestand downloadt.

U kunt de OVA ook op elk moment downloaden via het gedeelte Help . Klik op Instellingen > Help > Software voor hybride databeveiliging downloaden.

Het downloaden van het OVA-bestand wordt automatisch gestart. Sla het bestand op een locatie op uw computer op.
4

U kunt ook op Implementatiegids voor hybride databeveiliging bekijken klikken om te controleren of er een nieuwere versie van deze handleiding beschikbaar is.

Een configuratie-ISO voor de HDS-hosts maken

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

Voordat u begint

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stable

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stable

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Op de pagina ISO-import hebt u de volgende opties:

  • Nee: als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
  • Ja: als u al HDS-knooppunten hebt gemaakt, selecteert u uw ISO-bestand in de blader en uploadt u het.
10

Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

  • Als u nog nooit eerder een certificaat hebt geüpload, uploadt u het X.509-certificaat, voert u het wachtwoord in en klikt u op Doorgaan.
  • Als uw certificaat OK is, klikt u op Doorgaan.
  • Als uw certificaat is verlopen of u het wilt vervangen, selecteert u Nee voor Doorgaan met het gebruik van de HDS-certificaatketen en privésleutel van vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
11

Voer het databaseadres en het account in voor HDS om toegang te krijgen tot uw belangrijke gegevensopslag:

  1. Selecteer uw databasetype (PostgreSQL of Microsoft SQL Server).

    Als u Microsoft SQL Server kiest, wordt het veld Verificatietype weergegeven.

  2. (Alleen Microsoft SQL-server ) Selecteer uw verificatietype:

    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam .

    • Windows-verificatie: U hebt een Windows-account nodig met de indeling username@DOMAIN in het veld Gebruikersnaam .

  3. Voer het adres van de databaseserver in de vorm : of : in.

    Voorbeeld:
    dbhost.example.org:1433 of 198.51.100.17:1433

    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten geen DNS kunnen gebruiken om de hostnaam op te lossen.

    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

  4. Voer de Databasenaam in.

  5. Voer de gebruikersnaam en het wachtwoord in van een gebruiker met alle rechten op de sleutelopslagdatabase.

12

Selecteer een TLS-databaseverbindingsmodus:

Mode

Beschrijving

Voorkeur geven aan TLS (standaardoptie)

HDS-knooppunten vereisen geen TLS om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding.

TLS verplichten

HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

TLS verplichten en certificaat ondertekenaar verifiëren

Deze modus is niet van toepassing op SQL Server-databases.

  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het Basiscertificaat van de database. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

TLS verplichten en certificaat ondertekenaar en hostnaam verifiëren

  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

  • Na het tot stand brengen van een TLS-verbinding vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in het Basiscertificaat van de database. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

  • De knooppunten controleren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databashost en poort . De namen moeten exact overeenkomen, of de verbinding wordt door het knooppunt ingspunt laten merken.

Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

Wanneer u het hoofdcertificaat uploadt (indien nodig) en op Doorgaan klikt, test de HDS-setuptool de TLS-verbinding met de databaseserver. De tool controleert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, wordt er een foutmelding weergegeven waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en doorgaan met de installatie. (Vanwege verbindingsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de machine van de HDS-setuptool deze niet kan testen.)

13

Configureer uw Syslogd-server op de pagina Systeemlogboeken:

  1. Voer de URL van de syslog-server in.

    Als de server niet door het DNS kan worden omgezet vanaf de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

    Voorbeeld:
    udp://10.92.43.23:514 geeft aan dat u zich aanmeldt bij Syslogd-host 10.92.43.23 op UDP-poort 514.
  2. Als u uw server zo instelt dat deze TLS-codering gebruikt, schakelt u het selectievakje Is uw syslog-server geconfigureerd voor SSL-codering? in.

    Als u dit selectievakje inschakelt, moet u een TCP-URL zoals tcp://10.92.43.23:514 invoeren.

  3. Kies in de vervolgkeuzelijst Syslog-record beëindigen kiezen de juiste instelling voor uw ISO-bestand: Kiezen of nieuwe lijn wordt gebruikt voor Graylog en Rsyslog TCP

    • Null byte -- \x00

    • Regeleinde -- \n: selecteer deze keuze voor Graylog en Rsyslog TCP.

  4. Klik op Doorgaan.

14

(Optioneel) U kunt de standaardwaarde voor sommige parameters voor databaseverbinding wijzigen in Geavanceerde instellingen. Over het algemeen is deze parameter de enige die u mogelijk wilt wijzigen:

app_datasource_connection_pool_maxSize: 10
15

Klik op Doorgaan in het scherm Wachtwoord voor serviceaccounts herstellen .

Wachtwoorden voor serviceaccounts hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of u ze wilt herstellen om eerdere ISO-bestanden ongeldig te maken.

16

Klik op ISO-bestand downloaden. Sla het bestand op een eenvoudig te vinden locatie op.

17

Maak een back-up van het ISO-bestand op uw lokale systeem.

Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

18

Typ CTRL+C om de setuptool af te sluiten.

De volgende stappen

Maak een back-up van het ISO-configuratiebestand. U hebt deze nodig om meer knooppunten te maken voor herstel of om configuratiewijzigingen aan te brengen. Als u alle kopieën van het ISO-bestand verliest, bent u ook de hoofdsleutel kwijt. Het is niet mogelijk om de sleutels te herstellen van uw PostgreSQL- of Microsoft SQL Server-database.

We hebben nooit een kopie van deze sleutel en kunnen niet helpen als u deze verliest.

De HDS-host-OVA installeren

Gebruik deze procedure om een virtuele machine te maken van het OVA-bestand.
1

Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host.

2

Selecteer Bestand > OVF-sjabloon implementeren.

3

Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

4

Op de pagina Een naam en map selecteren voert u een naam van de virtuele machine in voor het knooppunt (bijvoorbeeld 'HDS_Node_1'), kiest u een locatie waar de implementatie van het knooppunt van de virtuele machine zich kan bevinden en klikt u op Volgende.

5

Kies op de pagina Een rekenresource selecteren de bestemming van de rekenresource en klik vervolgens op Volgende.

Er wordt een validatiecontrole uitgevoerd. Nadat het is voltooid, worden de sjabloongegevens weergegeven.

6

Controleer de sjabloongegevens en klik vervolgens op Volgende.

7

Als u wordt gevraagd de resourceneconfiguratie op de pagina Configuratie te kiezen, klikt u op 4 CPU en vervolgens op Volgende.

8

Klik op de pagina Opslag selecteren op Volgende om het standaard schijfindeling en het VM-opslagbeleid te accepteren.

9

Op de pagina Netwerken selecteren kiest u de netwerkoptie in de lijst met vermeldingen om de gewenste verbinding met de VM te bieden.

10

Configureer de volgende netwerkinstellingen op de pagina Sjabloon aanpassen :

  • Hostnaam: voer de FQDN (hostnaam en domein) of een enkele woord hostnaam voor het knooppunt in.
    • U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

    • Gebruik alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt hebt ingesteld om een succesvolle registratie bij de cloud te garanderen. Hoofdletters worden momenteel niet ondersteund.

    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

  • IP-adres: voer het IP-adres in voor de interne interface van het knooppunt.

    Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

  • Masker: voer het adres van het subnetmasker in puntdecimale notatie in. Bijvoorbeeld 255.255.255.0.
  • Gateway: voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat dienst doet als een toegangspunt naar een ander netwerk.
  • DNS-servers: voer een door komma's gescheiden lijst in met DNS-servers die domeinnamen naar numerieke IP-adressen vertalen. (Er zijn maximaal 4 DNS-vermeldingen toegestaan.)
  • NTP-servers: voer de NTP-server van uw organisatie of een andere externe NTP-server in die voor uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle bedrijven. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster voor administratieve doeleinden bereikbaar zijn vanaf clients in uw netwerk.

Indien gewenst kunt u de configuratie van de netwerkinstelling overslaan en de stappen volgen in De VM voor hybride databeveiliging instellen om de instellingen te configureren vanuit de knooppuntconsole.

De optie voor het configureren van netwerkinstellingen tijdens de OVA-implementatie is getest met ESXi 7.0. Deze optie is mogelijk niet beschikbaar in eerdere versies.

11

Klik met de rechtermuisknop op het knooppunt VM en kies Aan/uit > Inschakelen.

De software voor hybride databeveiliging wordt als gast geïnstalleerd op de VM-host. U bent nu klaar om u aan te melden bij de console en het knooppunt te configureren.

Tips voor probleemoplossing

U kunt een vertraging van enkele minuten ervaren voordat de knooppuntcontainers omhoog komen. Tijdens de eerste keer opstarten verschijnt een bridge-firewallbericht op de console, waarbij u zich niet kunt aanmelden.

VM voor hybride databeveiliging instellen

Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het knooppunt voor hybride databeveiliging en om de aanmeldgegevens in te stellen. U kunt de console ook gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze niet hebt geconfigureerd op het moment van de OVA-implementatie.

1

Selecteer in de VMware vSphere-client de VM van uw knooppunt voor hybride databeveiliging en het tabblad Console .

De VM wordt opgestart en er wordt een aanmeldprompt weergegeven. Als de aanmeldingsprompt niet wordt weergegeven, drukt u op Enter.
2

Gebruik de volgende standaardaanmeldgegevens en -wachtwoorden om u aan te melden en de aanmeldgegevens te wijzigen:

  1. Aanmelden: admin

  2. Wachtwoord: cisco

Aangezien u zich voor de eerste keer bij uw VM aanmeldt, moet u het beheerderswachtwoord wijzigen.

3

Als u de netwerkinstellingen al hebt geconfigureerd in De HDS-host-OVA installeren, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken .

4

Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

5

(Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) om overeen te stemmen met uw netwerkbeleid.

U hoeft het domein niet in te stellen op hetzelfde domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

6

Sla de netwerkconfiguratie op en start de VM opnieuw op zodat de wijzigingen worden doorgevoerd.

De HDS-configuratie-ISO uploaden en koppelen

Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS-setuptool.

Voordat u begint

Omdat het ISO-bestand de hoofdsleutel bevat, mag deze alleen worden weergegeven op een 'need to know'-basis, voor toegang door de VM's van hybride databeveiliging en alle beheerders die mogelijk wijzigingen moeten aanbrengen. Zorg ervoor dat alleen deze beheerders toegang hebben tot de gegevensopslag.

1

Upload het ISO-bestand vanaf uw computer:

  1. Klik in het linkerdeelvenster van de VMware vSphere-client op de ESXi-server.

  2. Klik op de lijst Hardware van het tabblad Configuratie op Opslag.

  3. Klik in de lijst Gegevensopslag met de rechtermuisknop op de gegevensopslag voor uw VM's en klik op Gegevensopslag bladeren.

  4. Klik op het pictogram Bestanden uploaden en klik vervolgens op Bestand uploaden.

  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

  6. Klik op Ja om de waarschuwing voor het uploaden/downloaden te accepteren en sluit het dialoogvenster Gegevensopslag.

2

Koppel het ISO-bestand:

  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  2. Klik op OK om de waarschuwing met beperkte bewerkingsopties te accepteren.

  3. Klik op CD/DVD Drive 1, selecteer de optie om te koppelen vanuit een ISO-bestand van de gegevensopslag en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

  4. Schakel Verbonden en Verbinding maken na inschakelen in.

  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

De volgende stappen

Als uw IT-beleid dat vereist, kunt u optioneel het ISO-bestand loskoppelen nadat al uw knooppunten de configuratiewijzigingen hebben opgehaald. Zie (optioneel) ISO ontkoppelen na HDS-configuratie voor meer informatie.

Configureer het HDS-knooppunt voor proxy-integratie

Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride gegevensbeveiliging. Als u een transparante inspectering proxy of een HTTPS-expliciete proxy kiest, kunt u de interface van het knooppunt gebruiken om de hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding vanuit de interface controleren en mogelijke problemen oplossen.

Voordat u begint

1

Voer de URL voor het instellen van het HDS-knooppunt https://[HDS Node IP or FQDN]/setup in een webbrowser in, voer de beheerdersgegevens in die u voor het knooppunt instelt en klik vervolgens op Aanmelden.

2

Ga naar vertrouwens archieven voor vertrouwde proxyen kies een optie:

  • Geen proxy: de standaardoptie voordat u een proxy integreert. Er is geen certificaat update vereist.
  • Transparent Non-Inspecting Proxy: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en mogen geen wijzigingen vereisen om te werken met een niet-inspecterende proxy. Er is geen certificaat update vereist.
  • Proxy transparant inspecteren: knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen wijzigingen in de HTTPS-configuratie nodig voor de implementatie van hybride data beveiliging, de HDS-knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).
  • Expliciete proxy: met expliciete proxy vertelt u de client (HDS-knooppunten) welke proxyserver moet worden gebruikt en deze optie ondersteunt verschillende verificatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
    1. Proxy-IP/FQDN: het adres dat kan worden gebruikt om de proxycomputer te bereiken.

    2. Proxypoort: een poortnummer dat de proxy gebruikt om te luisteren naar proxy-verkeer.

    3. Proxyprotocol: kies http (toont en beheert alle verzoeken die zijn ontvangen van de client) of https (biedt een kanaal naar de server en de client ontvangt en valideert het servercertificaat). Kies een optie op basis van wat uw proxyserver ondersteunt.

    4. Verificatietype: kies uit de volgende verificatietypen:

      • Geen: geen verdere verificatie is vereist.

        Beschikbaar voor HTTP-of HTTPS-proxy's.

      • Basis: wordt gebruikt voor een HTTP-gebruikersagent om bij het maken van een aanvraag een gebruikersnaam en wachtwoord op te geven. Gebruikt base64-codering.

        Beschikbaar voor HTTP-of HTTPS-proxy's.

        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

      • Digest: wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

        Alleen beschikbaar voor HTTPS-proxy's.

        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

Volg de volgende stappen voor een transparante inspectie proxy, een HTTP Explicit-proxy met basisverificatie of een HTTPS-expliciete proxy.

3

Klik op een hoofdcertificaat of eindentiteit certificaat uploadenen navigeer vervolgens naar een kies de hoofdcertificaat voor de proxy.

Het certificaat is geüpload, maar is nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijlpunt punthaak op de naam van de certificaatuitgever voor meer informatie of klik op verwijderen Als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

4

Klik op proxy verbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

Als de verbindingstest mislukt, wordt er een foutbericht weergegeven met de reden en hoe u het probleem kunt oplossen.

Als u een bericht ziet dat de externe DNS-omzetting niet is geslaagd, kan het knooppunt de DNS-server niet bereiken. Deze situatie wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de geblokkeerde externe DNS-omzettingsmodus. Als u denkt dat dit een fout is, voert u deze stappen uit en ziet u vervolgens Modus voor geblokkeerde externe DNS-resolutie uitschakelen.

5

Nadat de verbindingstest is geslaagd, voor expliciete proxy ingesteld op alleen https, schakelt u het in-/uitschakelen in om alle poort 443/444 HTTPS-aanvragen van dit knooppunt te routeren via de expliciete proxy. Deze instelling vereist 15 seconden om van kracht te worden.

6

Klik op alle certificaten installeren in het vertrouwde archief (wordt weergegeven voor een HTTPS-expliciete proxy of een transparante inspectie proxy) of opnieuw opstarten (wordt weergegeven voor een http-expliciete proxy), lees de prompt en klik vervolgens op installeren Als u klaar bent.

Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

7

Nadat het knooppunt opnieuw is opgestart, meldt u zich opnieuw aan indien nodig en opent u de overzichts pagina om te controleren of ze allemaal in de groene status zijn.

De controle van de proxyverbinding test alleen een subdomein van webex.com. Als er problemen zijn met de verbinding, is een veelvoorkomend probleem dat sommige Cloud domeinen die worden vermeld in de installatie-instructies, worden geblokkeerd op de proxy.

Het eerste knooppunt in het cluster registreren

Bij deze taak wordt het algemene knooppunt gebruikt dat u hebt gemaakt in De VM voor hybride databeveiliging instellen, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een knooppunt voor hybride databeveiliging.

Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt is toegewezen. Een cluster bevat een of meer knooppunten die zijn geïmplementeerd voor redundantie.

Voordat u begint

  • Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.

  • Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik op Instellen.

4

Klik op de pagina die wordt geopend op Een resource toevoegen.

5

Voer in het eerste veld van de kaart Een knooppunt toevoegen een naam in voor het cluster waaraan u uw knooppunt voor hybride databeveiliging wilt toewijzen.

We raden u aan een cluster een naam te geven op basis van de plaats waar de knooppunten van de cluster zich geografisch bevinden. Voorbeelden: "San Francisco", "New York" of "Dallas"

6

Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Toevoegen onderaan het scherm.

Dit IP-adres of de FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein die u hebt gebruikt in De VM voor hybride databeveiliging instellen.

Er wordt een bericht weergegeven dat aangeeft dat u uw knooppunt kunt registreren bij de Webex.
7

Klik op Naar knooppunt gaan.

Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw Webex-organisatie voor toegang tot uw knooppunt.

8

Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
9

Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging Partnerhub.

Op de pagina Hybride databeveiliging wordt de nieuwe cluster met het knooppunt dat u hebt geregistreerd weergegeven onder het tabblad Resources . Het knooppunt downloadt automatisch de nieuwste software uit de cloud.

Meer knooppunten maken en registreren

Om extra knooppunten aan uw cluster toe te voegen, maakt u extra VM's en koppelt u hetzelfde ISO-configuratiebestand. Vervolgens registreert u het knooppunt. We raden aan dat u minimaal 3 knooppunten hebt.

Voordat u begint

  • Zodra u begint met de registratie van een knooppunt, moet u het binnen 60 minuten voltooien of moet u opnieuw beginnen.

  • Zorg ervoor dat pop-upblokkeringen in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

1

Maak een nieuwe virtuele machine van de OVA en herhaal de stappen in De HDS-host-OVA installeren.

2

Stel de eerste configuratie in op de nieuwe VM en herhaal de stappen in De VM voor hybride databeveiliging instellen.

3

Herhaal op de nieuwe VM de stappen in De HDS-configuratie-ISO uploaden en koppelen.

4

Als u een proxy instelt voor uw implementatie, herhaalt u de stappen in Het HDS-knooppunt configureren voor proxyintegratie indien nodig voor het nieuwe knooppunt.

5

Registreer het knooppunt.

  1. Selecteer in https://admin.webex.comServices in het menu aan de linkerkant van het scherm.

  2. Zoek in het gedeelte Cloudservices de kaart voor hybride databeveiliging en klik op Alles weergeven.

    De pagina Resources hybride databeveiliging wordt weergegeven.
  3. Het nieuwe cluster wordt weergegeven op de pagina Resources .

  4. Klik op het cluster om de knooppunten weer te geven die aan het cluster zijn toegewezen.

  5. Klik op Een knooppunt toevoegen aan de rechterkant van het scherm.

  6. Voer het interne IP-adres of de volledig gekwalificeerde domeinnaam van uw knooppunt in en klik op Toevoegen.

    Er wordt een pagina geopend met een bericht dat aangeeft dat u uw knooppunt kunt registreren bij de Webex-cloud. Na enkele ogenblikken wordt u omgeleid naar de verbindingstests voor Webex-services op het knooppunt. Als alle tests zijn geslaagd, wordt de pagina Toegang toestaan tot knooppunt voor hybride databeveiliging weergegeven. Daar bevestigt u dat u toestemmingen wilt geven aan uw organisatie voor toegang tot uw knooppunt.
  7. Schakel het selectievakje Toegang toestaan tot uw knooppunt voor hybride databeveiliging in en klik vervolgens op Doorgaan.

    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
  8. Klik op de koppeling of sluit het tabblad om terug te gaan naar de pagina Hybride databeveiliging Partnerhub.

    Het pop-upbericht Knooppunt toegevoegd wordt ook onderaan het scherm in Partnerhub weergegeven.

    Uw knooppunt is geregistreerd.

Tenantorganisaties beheren voor hybride databeveiliging met meerdere tenants

HDS met meerdere tenants activeren in Partner Hub

Deze taak zorgt ervoor dat alle gebruikers van de klantorganisaties HDS kunnen gaan gebruiken voor lokale coderingssleutels en andere beveiligingsservices.

Voordat u begint

Zorg ervoor dat u het instellen van uw HDS-cluster met meerdere tenants hebt voltooid met het vereiste aantal knooppunten.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Instellingen bewerken.

4

Klik op HDS activeren op de kaart HDS-status .

Tenantorganisaties toevoegen in Partner Hub

In deze taak wijst u klantorganisaties toe aan uw cluster voor hybride databeveiliging.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Alles weergeven.

4

Klik op het cluster waaraan u wilt dat een klant wordt toegewezen.

5

Ga naar het tabblad Toegewezen klanten .

6

Klik op Klanten toevoegen.

7

Selecteer de klant die u wilt toevoegen in het vervolgkeuzemenu.

8

Klik op Toevoegen. De klant wordt aan het cluster toegevoegd.

9

Herhaal stap 6 tot en met 8 om meerdere klanten aan uw cluster toe te voegen.

10

Klik op Gereed onderaan het scherm zodra u de klanten hebt toegevoegd.

De volgende stappen

Voer de HDS-setuptool uit zoals beschreven in Hoofdsleutels voor klanten maken (CMK's) met de HDS-setuptool om het setupproces te voltooien.

Hoofdsleutels voor de klant maken met de HDS-setuptool

Voordat u begint

Wijs klanten toe aan het juiste cluster zoals beschreven in Tenantorganisaties toevoegen in Partner Hub. Voer de HDS-setuptool uit om het setupproces voor de nieuw toegevoegde klantorganisaties te voltooien.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Partnerhub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy zonder verificatie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy met verificatie

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy met verificatie

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:

    • Aanmeldgegevens database

    • Certificaatupdates

    • Wijzigingen in autorisatiebeleid

  • Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stable

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stable

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Klik op de pagina ISO-import op Ja.

10

Selecteer uw ISO-bestand in de browser en upload het.

Zorg ervoor dat u verbinding hebt met uw database om CMK-beheer uit te voeren.
11

Ga naar het tabblad Tenant CMK-beheer . Hier vindt u de volgende drie manieren om tenant-CMK's te beheren.

  • CMK maken voor alle organisaties of CMK maken : klik op deze knop in de banner bovenaan het scherm om CMK's te maken voor alle nieuw toegevoegde organisaties.
  • Klik op de knop CMK's beheren aan de rechterkant van het scherm en klik op CMK's maken om CMK's te maken voor alle nieuw toegevoegde organisaties.
  • Klik op ... in de buurt van de status CMK-beheer in behandeling van een specifieke organisatie in de tabel en klik op CMK maken om CMK voor die organisatie te maken.
12

Wanneer het maken van CMK is gelukt, verandert de status in de tabel van CMK-beheer in behandeling in CMK beheerd.

13

Als het maken van CMK is mislukt, wordt een fout weergegeven.

Tenantorganisaties verwijderen

Voordat u begint

Na het verwijderen, kunnen gebruikers van klantorganisaties HDS niet meer gebruiken voor hun coderingsbehoeften en verliezen alle bestaande ruimten. Neem contact op met uw Cisco-partner of accountmanager voordat u klantorganisaties verwijdert.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Alles weergeven.

4

Klik op het tabblad Resources op het cluster waarvan u klantorganisaties wilt verwijderen.

5

Klik op de pagina die wordt geopend op Toegewezen klanten.

6

Klik in de lijst met klantorganisaties die worden weergegeven op ... aan de rechterkant van de klantorganisatie die u wilt verwijderen en klik op Verwijderen uit cluster.

De volgende stappen

Voltooi het verwijderingsproces door de CMK's van de klantorganisaties in te trekken, zoals beschreven in CMK's van tenants die zijn verwijderd uit HDS intrekken.

CMK's van tenants die zijn verwijderd uit HDS intrekken.

Voordat u begint

Verwijder klanten uit het juiste cluster zoals beschreven in Tenantorganisaties verwijderen. Voer de HDS-setuptool uit om het verwijderingsproces voor de klantorganisaties die zijn verwijderd te voltooien.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Partnerhub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy zonder verificatie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy met verificatie

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy met verificatie

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:

    • Aanmeldgegevens database

    • Certificaatupdates

    • Wijzigingen in autorisatiebeleid

  • Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stable

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stable

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Gebruik een webbrowser om naar de localhost, http://127.0.0.1:8080, te gaan en voer de gebruikersnaam van de beheerder voor Partner Hub in de prompt in.

Het hulpprogramma gebruikt deze eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. In de tool wordt vervolgens de standaardprompt voor aanmelden weergegeven.

7

Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de Partnerhub-beheerder in en klikt u vervolgens op Aanmelden om toegang tot de vereiste services voor hybride databeveiliging toe te staan.

8

Klik op de overzichtspagina van de setuptool op Aan de slag.

9

Klik op de pagina ISO-import op Ja.

10

Selecteer uw ISO-bestand in de browser en upload het.

11

Ga naar het tabblad Tenant CMK-beheer . Hier vindt u de volgende drie manieren om tenant-CMK's te beheren.

  • CMK intrekken voor alle organisaties of CMK intrekken - Klik op deze knop in de banner bovenaan het scherm om de CMK's van alle organisaties die zijn verwijderd in te trekken.
  • Klik op de knop CMK's beheren aan de rechterkant van het scherm en klik op CMK's intrekken om de CMK's van alle organisaties die zijn verwijderd in te trekken.
  • Klik op ... in de buurt van de CMK die moet worden ingetrokken status van een specifieke organisatie in de tabel en klik op CMK intrekken om CMK voor die specifieke organisatie in te trekken.
12

Wanneer CMK-intrekking is gelukt, wordt de klantorganisatie niet meer in de tabel weergegeven.

13

Als de CMK-intrekking mislukt, wordt een fout weergegeven.

Uw implementatie voor hybride databeveiliging testen

Uw implementatie van hybride databeveiliging testen

Gebruik deze procedure om coderingsscenario's voor hybride databeveiliging met meerdere tenants te testen.

Voordat u begint

  • Stel uw implementatie voor hybride databeveiliging met meerdere tenants in.

  • Zorg ervoor dat u toegang hebt tot het syslog om te controleren of belangrijke verzoeken naar uw implementatie van hybride databeveiliging met meerdere tenants worden doorgegeven.

1

Sleutels voor een bepaalde ruimte worden ingesteld door de maker van de ruimte. Meld u aan bij de Webex-app als een van de gebruikers van de klantorganisatie en maak vervolgens een ruimte.

Als u de implementatie voor hybride databeveiliging deactiveert, is inhoud in ruimten die gebruikers maken niet meer toegankelijk zodra de kopieën in de cache van de client van de coderingssleutels zijn vervangen.

2

Verzend berichten naar de nieuwe ruimte.

3

Controleer de syslog-uitvoer om te verifiëren of de sleutelverzoeken naar uw implementatie voor hybride databeveiliging gaan.

  1. Als u wilt controleren of een gebruiker eerst een beveiligd kanaal naar de KMS instelt, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

    U vindt een vermelding als het volgende (identifiers shortened for readability):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
  2. Als u wilt controleren of een gebruiker een bestaande sleutel van de KMS aanvraagt, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
  3. Als u wilt controleren voor een gebruiker die het maken van een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
  4. Als u wilt controleren of een gebruiker een nieuw KMS Resource Object (KRO) aanvraagt wanneer een omgeving of andere beschermde resource wordt gemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

    U zoekt naar een invoer die er als volgt uitziet:
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hybride databeveiliging controleren

Een statusindicator in Partnerhub geeft aan of alles in orde is met de implementatie van hybride databeveiliging met meerdere tenants. Als u proactief belt, meldt u zich aan voor e-mailmeldingen. U wordt geïnformeerd wanneer er alarmen of software-upgrades zijn die invloed hebben op de service.
1

Selecteer in Partnerhub de optie Services in het menu aan de linkerkant van het scherm.

2

Zoek in het gedeelte Cloudservices naar hybride databeveiliging en klik op Instellingen bewerken.

De pagina Instellingen hybride databeveiliging wordt weergegeven.
3

Typ in het gedeelte E-mailmeldingen een of meer door komma's gescheiden e-mailadressen en druk op Enter.

Uw HDS-implementatie beheren

HDS-implementatie beheren

Gebruik de taken die hier worden beschreven om uw implementatie van hybride databeveiliging te beheren.

Planning van clusterupgrade instellen

Software-upgrades voor hybride databeveiliging worden automatisch op clusterniveau uitgevoerd, wat ervoor zorgt dat alle knooppunten altijd dezelfde softwareversie gebruiken. Upgrades worden uitgevoerd volgens de upgradeplanning voor het cluster. Wanneer een software-upgrade beschikbaar wordt, hebt u de optie het cluster handmatig vóór het geplande tijdstip van de upgrade te upgraden. U kunt een specifiek upgradeschema instellen of het standaardschema gebruiken van 3:00 uur Dagelijks in de Verenigde Staten: Amerika/Los Angeles. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

De upgradeplanning instellen:

1

Meld u aan bij Partner Hub.

2

Selecteer Services in het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloudservices hybride databeveiliging en klik op Instellen

4

Selecteer het cluster op de pagina Resources hybride databeveiliging.

5

Klik op het tabblad Clusterinstellingen .

6

Selecteer op de pagina Clusterinstellingen bij Upgradeplanning de tijd en tijdzone voor de upgradeplanning.

Opmerking: Onder de tijdzone worden de volgende beschikbare upgradedatum en -tijd weergegeven. U kunt de upgrade indien nodig uitstellen tot de volgende dag door op 24 uur uitstellen te klikken.

De knooppuntconfiguratie wijzigen

Soms moet u de configuratie van uw knooppunt voor hybride databeveiliging wijzigen vanwege een bijvoorbeeld:
  • X.509-certificaten wijzigen vanwege vervaldatum of andere redenen.

    We ondersteunen het wijzigen van de CN-domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om de cluster te registreren.

  • Database-instellingen bijwerken om te wijzigen in een kopie van de PostgreSQL- of Microsoft SQL Server-database.

    We ondersteunen het migreren van gegevens van PostgreSQL naar Microsoft SQL Server niet, of op de omgekeerde manier. Als u wilt schakelen tussen de databaseomgevingen, moet u een nieuwe implementatie van hybride databeveiliging starten.

  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

Bovendien gebruikt Hybride databeveiliging voor beveiligingsdoeleinden wachtwoorden voor serviceaccounts die een levensduur van negen maanden hebben. Nadat de HDS-setuptool deze wachtwoorden heeft gegenereerd, implementeert u deze in uw HDS-knooppunten in het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een melding van het Webex-team om het wachtwoord voor uw machineaccount opnieuw in te stellen. (Het e-mailbericht bevat de tekst: 'Gebruik het machineaccount API om het wachtwoord bij te werken.') Als uw wachtwoord nog niet is verlopen, geeft de tool u twee opties:

  • Zachte reset: de oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO-bestand op de knooppunten stapsgewijs te vervangen.

  • Harde reset: de oude wachtwoorden werken niet direct meer.

Als uw wachtwoorden verlopen zonder opnieuw in te stellen, is dit van invloed op uw HDS-service, waarvoor onmiddellijke harde reset en vervanging van het ISO-bestand op alle knooppunten nodig is.

Gebruik deze procedure om een nieuw ISO-configuratiebestand te genereren en dit toe te passen op uw cluster.

Voordat u begint

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de referenties van een Partnerhub-account met volledige partnerbeheerdersrechten vereist.

    Als u geen Docker Desktop licentie hebt, kunt u Podman Desktop gebruiken om de HDS Setup tool uit te voeren voor stappen 1.a tot en met 1.e in de onderstaande procedure. Zie HDS-setuptool uitvoeren met Podman Desktop voor meer informatie.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container in 1.e opent. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy zonder verificatie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy met verificatie

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy met verificatie

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel voor de versleuteling van PostgreSQL of Microsoft SQL Server-database. U hebt de ISO nodig wanneer u configuratiewijzigingen aan aanbrengen, waaronder databasereferenties, certificaatupdates of wijzigingen aan autorisatiebeleid.

1

Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

  1. Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

    In normale omgevingen:

    docker rmi ciscocitg/hds-setup:stable

    In FedRAMP-omgevingen:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

  2. Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

    docker login -u hdscustomersro
  3. Voer bij de wachtwoordprompt deze hash in:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Download de nieuwste stabiele afbeelding voor uw omgeving:

    In normale omgevingen:

    docker pull ciscocitg/hds-setup:stable

    In FedRAMP-omgevingen:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 hebben niet de schermen voor het opnieuw instellen van wachtwoorden.

  5. Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

    • In normale omgevingen zonder proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • In normale omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In normale omgevingen met HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In FedRAMP-omgevingen zonder een proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.

    De setuptool biedt geen ondersteuning voor verbinding maken met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

  7. Wanneer u hierom wordt gevraagd, voert u de aanmeldgegevens voor de klant van uw Partnerhub in en klikt u vervolgens op Accepteren om door te gaan.

  8. Importeer het huidige ISO-configuratiebestand.

  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

    Typ CTRL+C om de setuptool af te sluiten.

  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

2

Als slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor hybride databeveiliging en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren voor meer gedetailleerde instructies.

  1. Installeer de HDS-host-OVA.

  2. Stel de HDS-VM in.

  3. Koppel het bijgewerkte configuratiebestand.

  4. Registreer het nieuwe knooppunt in Partnerhub.

3

Voor bestaande HDS-knooppunten waar het oudere configuratiebestand op wordt uitgevoerd, moet u het ISO-bestand onder brengen. Voer de volgende procedure uit op elk knooppunt. Werk elk knooppunt bij voordat u het volgende knooppunt uit schakelen:

  1. Schakel de virtuele machine uit.

  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  3. Klik op CD/DVD Drive 1, selecteer de optie om te koppelen vanuit een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

  4. Schakel het selectievakje Verbinding maken na inschakelen in.

  5. Sla uw wijzigingen op en schakel de virtuele machine in.

4

Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

Geblokkeerde externe DNS-omzettingsmodus uitschakelen

Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. Als de DNS-server van het knooppunt geen publieke DNS-namen kan omzetten, wordt het knooppunt automatisch in de geblokkeerde externe DNS-omzettingsmodus geplaatst.

Als uw knooppunten publieke DNS-namen kunnen omzetten via interne DNS-servers, kunt u deze modus uitschakelen door de proxy verbindingstest opnieuw uit te voeren op elk knooppunt.

Voordat u begint

Zorg ervoor dat uw interne DNS-servers publieke DNS-namen kunnen omzetten en dat uw knooppunten met hen kunnen communiceren.
1

Open in een webbrowser de interface van het knooppunt voor hybride databeveiliging (IP-adres/setup, bijvoorbeeld https://192.0.2.0/setup), voer de beheerdersreferenties in die u voor het knooppunt instelt en klik vervolgens op Aanmelden.

2

Ga naar overzicht (de standaardpagina).

Indien ingeschakeld, wordt de geblokkeerde externe DNS-omzetting ingesteld op Ja.

3

Ga naar de pagina vertrouwde winkel >-proxy .

4

Klik op proxy verbinding controleren.

Als er een bericht wordt weergegeven met de melding dat de externe DNS-omzetting niet is geslaagd, is het knooppunt niet in staat om de DNS-server te bereiken en blijft deze in deze modus. Anders moet de geblokkeerde externe DNS-omzetting worden ingesteld op Nee als u het knooppunt opnieuw hebt opgestart en teruggaat naar de overzichtspagina.

De volgende stappen

Herhaal de proxy verbindingstest op elk knooppunt in uw cluster voor hybride data beveiliging.

Een knooppunt verwijderen

Gebruik deze procedure om een knooppunt voor hybride databeveiliging te verwijderen uit de Webex-cloud. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
1

Gebruik de VMware vSphere-client op uw computer om u aan te melden bij de virtuele ESXi-host en schakel de virtuele machine uit.

2

Verwijder het knooppunt:

  1. Meld u aan bij Partnerhub en selecteer Services.

  2. Klik op de kaart Hybride databeveiliging op Alles weergeven om de pagina Resources hybride databeveiliging weer te geven.

  3. Selecteer uw cluster om het deelvenster Overzicht weer te geven.

  4. Klik op het knooppunt dat u wilt verwijderen.

  5. Klik op Dit knooppunt afmelden in het deelvenster dat aan de rechterkant wordt weergegeven

  6. U kunt de registratie van het knooppunt ook ongedaan maken door te klikken op … aan de rechterkant van het knooppunt en Dit knooppunt verwijderen te selecteren.

3

Verwijder de VM in de vSphere-client. (Klik in het linkerdeelvenster met de rechtermuisknop op de VM en klik op Verwijderen.)

Als u de VM niet verwijdert, vergeet dan niet om het ISO-configuratiebestand te ontkoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken voor toegang tot uw beveiligingsgegevens.

Noodherstel met behulp van stand-bydatacenter

De meest kritieke service die uw cluster voor hybride databeveiliging biedt, is het maken en opslaan van sleutels die worden gebruikt om berichten en andere inhoud die is opgeslagen in de Webex-cloud te coderen. Voor elke gebruiker in de organisatie die is toegewezen aan hybride databeveiliging, worden aanvragen voor het maken van nieuwe sleutels naar het cluster gerouteerd. Het cluster is ook verantwoordelijk voor het retourneren van de gemaakte sleutels aan alle gebruikers die bevoegd zijn om deze op te halen, bijvoorbeeld leden van een gespreksruimte.

Omdat het cluster de kritieke functie uitvoert voor het leveren van deze sleutels, is het absoluut noodzakelijk dat het cluster blijft draaien en dat de juiste back-ups worden onderhouden. Verlies van de database voor hybride databeveiliging of van de configuratie-ISO die voor het schema wordt gebruikt, leidt tot ONHERSTELBAAR VERLIES van klantinhoud. Om dergelijk verlies te voorkomen, zijn de volgende praktijken verplicht:

Als de HDS-implementatie in het primaire datacenter niet beschikbaar wordt door een ramp, volgt u deze procedure om handmatig failover naar het stand-bydatacenter te maken.

Voordat u begint

De registratie van alle knooppunten van Partnerhub ongedaan maken, zoals vermeld in Een knooppunt verwijderen. Gebruik het nieuwste ISO-bestand dat is geconfigureerd voor de knooppunten van het cluster dat eerder actief was, om de hieronder vermelde failoverprocedure uit te voeren.
1

Start de HDS-setuptool en volg de stappen die worden vermeld in Een configuratie-ISO voor de HDS-hosts maken.

2

Voltooi het configuratieproces en sla het ISO-bestand op een eenvoudig te vinden locatie op.

3

Maak een back-up van het ISO-bestand op uw lokale systeem. Houd de back-up veilig. Dit bestand bevat een hoofdcoderingssleutel voor de database-inhoud. Beperk de toegang tot alleen beheerders van hybride databeveiliging die configuratiewijzigingen moeten aanbrengen.

4

Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

5

Klik op Instellingen bewerken >CD/DVD-station 1 en selecteer ISO-gegevensopslagbestand.

Zorg ervoor dat Verbonden en Verbinding maken bij inschakelen zijn ingeschakeld, zodat bijgewerkte configuratiewijzigingen van kracht kunnen worden nadat de knooppunten zijn gestart.

6

Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 15 minuten geen alarmen zijn.

7

Registreer het knooppunt in Partnerhub. Raadpleeg Het eerste knooppunt in het cluster registreren.

8

Herhaal het proces voor elk knooppunt in het stand-bydatacenter.

De volgende stappen

Als het primaire datacenter na failover weer actief wordt, verwijdert u de registratie van de knooppunten van het stand-bydatacenter en herhaalt u het proces van configuratie van de ISO en registratie van de knooppunten van het primaire datacenter, zoals hierboven vermeld.

(Optioneel) ISO ontkoppelen na HDS-configuratie

De standaard HDS-configuratie wordt uitgevoerd met de aangekoppelde ISO. Sommige klanten geven er echter de voorkeur aan dat ISO-bestanden niet continu worden gekoppeld. U kunt het ISO-bestand loskoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

U gebruikt nog steeds de ISO-bestanden om configuratiewijzigingen aan te brengen. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de setuptool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra alle knooppunten de configuratiewijzigingen hebben opgehaald, kunt u de ISO opnieuw loskoppelen met deze procedure.

Voordat u begint

Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

1

Sluit een van uw HDS-knooppunten af.

2

Selecteer het HDS-knooppunt in het vCenter Server Appliance.

3

Kies Instellingen bewerken > CD/DVD-station en schakel ISO-gegevensopslagbestand uit.

4

Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 20 minuten geen alarmen zijn.

5

Herhaal om de beurt voor elk HDS-knooppunt.

Problemen met hybride databeveiliging oplossen

Waarschuwingen weergeven en problemen oplossen

Een implementatie van Hybride databeveiliging wordt als niet beschikbaar beschouwd als alle knooppunten in het cluster onbereikbaar zijn of als de cluster zo langzaam werkt dat een time-out wordt aangevraagd. Als gebruikers uw cluster voor hybride databeveiliging niet kunnen bereiken, ervaren ze de volgende symptomen:

  • Er kunnen geen nieuwe ruimten worden gemaakt (kan geen nieuwe sleutels maken)

  • Berichten en ruimtetitels kunnen niet worden gedecodeerd voor:

    • Nieuwe gebruikers die aan een ruimte zijn toegevoegd (kunnen geen sleutels ophalen)

    • Bestaande gebruikers in een ruimte met een nieuwe client (kunnen geen sleutels ophalen)

  • Bestaande gebruikers in een ruimte blijven succesvol draaien zolang hun clients een cache van de coderingssleutels hebben

Het is belangrijk dat u uw cluster voor hybride databeveiliging goed controleert en alle waarschuwingen onmiddellijk adresseert om onderbreking van de service te voorkomen.

Waarschuwingen

Als er een probleem is met de configuratie van hybride databeveiliging, geeft Partnerhub waarschuwingen weer aan de organisatiebeheerder en verzendt u e-mails naar het geconfigureerde e-mailadres. De waarschuwingen behandelen veel algemene scenario's.

Tabel 1. Veelvoorkomende problemen en de stappen om deze op te lossen

Waarschuwen

Actie

Lokale databasetoegang mislukt.

Controleer op databasefouten of problemen met het lokale netwerk.

Verbinding met lokale database mislukt.

Controleer of de databaseserver beschikbaar is en of de juiste referenties van het serviceaccount zijn gebruikt in de knooppuntconfiguratie.

Toegang tot cloudservice mislukt.

Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Vereisten voor externe connectiviteit.

De registratie van cloudservice wordt verlengd.

Registratie bij cloudservices is verbroken. De registratie wordt verlengd.

Registratie van cloudservice verbroken.

Registratie bij cloudservices is beëindigd. Service wordt afgesloten.

Service nog niet geactiveerd.

HDS activeren in Partnerhub.

Het geconfigureerde domein komt niet overeen met het servercertificaat.

Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

De meest waarschijnlijke oorzaak is dat de algemene naam van het certificaat onlangs is gewijzigd en nu anders is dan de algemene naam die tijdens de eerste installatie is gebruikt.

Kan niet verifiëren bij cloudservices.

Controleer op de nauwkeurigheid en mogelijke vervaldatum van de referenties van het serviceaccount.

Openen van lokaal keystore-bestand is mislukt.

Controleer op integriteit en wachtwoordnauwkeurigheid in het lokale keystore-bestand.

Het lokale servercertificaat is ongeldig.

Controleer de vervaldatum van het servercertificaat en bevestig dat het is uitgegeven door een vertrouwde certificeringsinstantie.

Kan statistieken niet plaatsen.

Controleer de toegang van het lokale netwerk tot externe cloudservices.

De map /media/configdrive/hds bestaat niet.

Controleer de ISO-koppelconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het is geconfigureerd om te koppelen bij opnieuw opstarten en of het met succes wordt gekoppeld.

De tenantorganisatie-instellingen zijn niet voltooid voor de toegevoegde organisaties

Voltooi de installatie door CMK's te maken voor nieuw toegevoegde tenantorganisaties met de HDS-setuptool.

De tenantorganisatie is niet voltooid voor de verwijderde organisaties

Voltooi de installatie door CMK's van tenantorganisaties die zijn verwijderd met de HDS-setuptool in te trekken.

Problemen met hybride databeveiliging oplossen

Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met Hybride databeveiliging.
1

Controleer Partnerhub voor waarschuwingen en los alle items op die u daar vindt. Zie de afbeelding hieronder ter referentie.

2

Controleer de uitvoer van de Syslog-server voor activiteit van de implementatie van hybride databeveiliging. Filter op woorden als 'Waarschuwing' en 'Fout' om problemen op te lossen.

3

Neem contact op met Cisco-ondersteuning.

Overige opmerkingen

Bekende problemen voor hybride databeveiliging

  • Als u uw cluster voor hybride databeveiliging afsluit (door deze te verwijderen in Partner Hub of door alle knooppunten te sluiten), uw ISO-configuratiebestand te verliezen of de toegang tot de keystore-database te verliezen, kunnen gebruikers van de Webex-app van klantorganisaties niet langer ruimten gebruiken onder hun lijst Personen die zijn gemaakt met sleutels van uw KMS. We hebben momenteel geen tijdelijke oplossing of oplossing voor dit probleem en we verzoeken u dringend uw HDS-services niet te beëindigen zodra deze actieve gebruikersaccounts afhandelen.

  • Een client die een bestaande ECDH-verbinding met een KMS heeft, onderhoudt die verbinding gedurende een bepaalde tijd (waarschijnlijk één uur).

HDS-setuptool uitvoeren via Podman Desktop

Podman is een gratis en open-source container management tool die een manier biedt om containers uit te voeren, te beheren en te maken. Podman Desktop kan worden gedownload van https://podman-desktop.io/downloads.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, download en voer Podman uit op die machine. Voor het installatieproces zijn de aanmeldgegevens van een Control Hub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving draait, geeft u de proxyinstellingen (server, poort, aanmeldgegevens) op via de omgevingsvariabelen van Docker wanneer u de Docker-container opent in stap 5. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy zonder verificatie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy met verificatie

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy met verificatie

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel voor het coderen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de laatste kopie van dit bestand nodig wanneer u configuratiewijzigingen aanbrengt, zoals deze:

    • Aanmeldgegevens database

    • Certificaatupdates

    • Wijzigingen in autorisatiebeleid

  • Als u van plan bent databaseverbindingen te coderen, stelt u uw PostgreSQL- of SQL Server-implementatie in voor TLS.

Met de setup voor hybride databeveiliging wordt een ISO-bestand gemaakt. U gebruikt vervolgens de ISO om uw host voor hybride databeveiliging te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

podman rmi ciscocitg/hds-setup:stable  

In FedRAMP-omgevingen:

podman rmi ciscocitg/hds-setup-fedramp:stable

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

podman login docker.io -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

podman pull ciscocitg/hds-setup:stable

In FedRAMP-omgevingen:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

De volgende stappen

Volg de resterende stappen in Een configuratie-ISO voor de HDS-hosts maken of De knooppuntconfiguratie wijzigen om een ISO-configuratie te maken of te wijzigen.

OpenSSL gebruiken om een PKCS12-bestand te genereren

Voordat u begint

  • OpenSSL is een tool die kan worden gebruikt om het PKCS12-bestand in de juiste indeling te maken voor het laden in de HDS-setuptool. Er zijn andere manieren om dit te doen, en we ondersteunen of promoten de ene weg niet boven de andere.

  • Als u ervoor kiest OpenSSL te gebruiken, bieden we deze procedure als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Begrijp deze vereisten voordat u verdergaat.

  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

  • Maak een privésleutel.

  • Start deze procedure wanneer u het servercertificaat ontvangt van uw certificerende instantie (CA).

1

Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

2

Geef het certificaat weer als tekst en verifieer de details.

openssl x509 -text -noout -in hdsnode.pem

3

Gebruik een tekstverwerker om een certificaatbundelbestand met de naam hdsnode-bundle.pem te maken. Het bundelbestand moet het servercertificaat, eventuele tussenliggende CA-certificaten en de basis-CA-certificaten bevatten in de onderstaande indeling:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Maak het .p12-bestand met de beschrijvende naam kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Controleer de details van het servercertificaat.

  1. openssl pkcs12 -in hdsnode.p12

  2. Voer bij de prompt een wachtwoord in om de privésleutel te coderen zodat deze wordt weergegeven in de uitvoer. Controleer vervolgens of de privésleutel en het eerste certificaat de lijnen bevatten friendlyName: kms-private-key.

    Voorbeeld:

    bash$ openssl pkcs12 -in hdsnode.p12
    Enter Import Password:
    MAC verified OK
    Bag Attributes
        friendlyName: kms-private-key
        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
    Key Attributes: 
    Enter PEM pass phrase:
    Verifying - Enter PEM pass phrase:
    -----BEGIN ENCRYPTED PRIVATE KEY-----
    
    -----END ENCRYPTED PRIVATE KEY-----
    Bag Attributes
        friendlyName: kms-private-key
        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
    subject=/CN=hds1.org6.portun.us
    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
    -----BEGIN CERTIFICATE-----
    
    -----END CERTIFICATE-----
    Bag Attributes
        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
    -----BEGIN CERTIFICATE-----
    
    -----END CERTIFICATE-----

De volgende stappen

Keer terug naar Aan de vereisten voor hybride databeveiliging voldoen. U gebruikt het hdsnode.p12 bestand en het wachtwoord dat u ervoor hebt ingesteld in Een configuratie-ISO voor de HDS-hosts maken.

U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

Verkeer tussen de HDS-knooppunten en de cloud

Verzamelverkeer uitgaande statistieken

De knooppunten voor hybride databeveiliging verzenden bepaalde statistieken naar de Webex-cloud. Hieronder vallen systeemstatistieken voor max. heap, gebruikte heap, CPU-belasting en threadtelling; statistieken op synchrone en asynchrone threads; statistieken over waarschuwingen met een drempel voor coderingsverbindingen, latentie of een aanvraagwachtrijlengte; statistieken in de gegevensopslag; en statistieken voor coderingsverbinding. De knooppunten verzenden gecodeerd sleutelmateriaal via een out-of-band (afzonderlijk van het verzoek) kanaal.

Inkomend verkeer

De knooppunten voor hybride databeveiliging ontvangen de volgende typen inkomend verkeer van de Webex-cloud:

  • Coderingsverzoeken van clients, die door de coderingsservice worden gerouteerd

  • Upgrades van de knooppuntsoftware

Het configureren van inktvis-Proxy's voor hybride data beveiliging

WebSocket kan geen verbinding maken via de inktvis-proxy

Squid-proxy's die HTTPS-verkeer inspecteren, kunnen het tot stand brengen van websocketverbindingen (wss:) verstoren die vereist zijn voor hybride databeveiliging. Deze secties bieden richtlijnen voor het configureren van verschillende versies van Squid om wss: verkeer te negeren voor een goede werking van de services.

Pijlinktvis 4 en 5

Voeg de on_unsupported_protocol richtlijn toe aan squid.conf:

on_unsupported_protocol tunnel all

Inktvis 3.5.27

Hybride databeveiliging is getest en de volgende regels zijn toegevoegd aan squid.conf. Deze regels kunnen worden gewijzigd wanneer we functies ontwikkelen en de Webex Cloud bijwerken.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Nieuwe en gewijzigde informatie

Nieuwe en gewijzigde informatie

In deze tabel worden nieuwe functies of functionaliteit, wijzigingen in bestaande inhoud en eventuele grote fouten beschreven die zijn opgelost in de Implementatiehandleiding voor hybride gegevensbeveiliging voor meerdere tenants.

Datum

Wijzigingen aangebracht

8 mei 2025

4 maart 2025

30 januari 2025

SQL Server versie 2022 is toegevoegd aan de lijst met ondersteunde SQL-servers in Vereisten voor databaseserver.

15 januari 2025

Beperkingen van multi-tenant hybride gegevensbeveiliging toegevoegd.

8 januari 2025

Er is een opmerking toegevoegd in Voer de eerste installatie uit en download de installatiebestanden waarin staat dat het klikken op Instellen op de HDS-kaart in Partner Hub een belangrijke stap is in het installatieproces.

7 januari 2025

Bijgewerkte Vereisten voor virtuele hosts, Taakstroom voor implementatie van hybride gegevensbeveiligingen HDS Host OVA installeren om de nieuwe vereisten van ESXi 7.0 weer te geven.

13 december 2024

Eerste publicatie.

Deactiveer Multi-Tenant Hybrid Data Security

Multi-Tenant HDS-deactiveringstaakstroom

Volg deze stappen om Multi-Tenant HDS volledig te deactiveren.

Voordat u begint

Deze taak mag alleen worden uitgevoerd door een volledige Partner-beheerder.
1

Verwijder alle klanten uit al uw clusters, zoals vermeld in Tenantorganisaties verwijderen.

2

Trek de CMK's van alle klanten in, zoals vermeld in Trek de CMK's in van tenants die uit HDS zijn verwijderd..

3

Verwijder alle knooppunten uit al uw clusters, zoals vermeld in Een knooppunt verwijderen.

4

Verwijder al uw clusters uit Partner Hub met behulp van een van de volgende twee methoden.

  • Klik op het cluster dat u wilt verwijderen en selecteer Verwijder dit cluster in de rechterbovenhoek van de overzichtspagina.
  • Klik op de pagina Bronnen op … aan de rechterkant van een cluster en selecteer Cluster verwijderen.
5

Klik op het tabblad Instellingen op de overzichtspagina Hybride gegevensbeveiliging en klik op HDS deactiveren op de kaart HDS-status.

Aan de slag met Multi-Tenant Hybrid Data Security

Overzicht van hybride gegevensbeveiliging voor meerdere tenants

Vanaf dag één is gegevensbeveiliging het belangrijkste aandachtspunt geweest bij het ontwerpen van de Webex-app. De hoeksteen van deze beveiliging is end-to-end-versleuteling van inhoud, mogelijk gemaakt door Webex-appclients die communiceren met de Key Management Service (KMS). De KMS is verantwoordelijk voor het maken en beheren van de cryptografiesleutels die clients gebruiken om berichten en bestanden dynamisch te coderen en te decoderen.

Standaard krijgen alle Webex-appklanten end-to-end-codering met dynamische sleutels die zijn opgeslagen in de cloud-KMS, in het beveiligingsdomein van Cisco. Hybride databeveiliging verplaatst de KMS en andere beveiligingsgerelateerde functies naar uw bedrijfsdatacenter, dus niemand maar u beschikt over de sleutels voor uw gecodeerde inhoud.

Multi-Tenant Hybrid Data Security stelt organisaties in staat om HDS te benutten via een vertrouwde lokale partner, die kan optreden als serviceprovider en on-premises encryptie en andere beveiligingsdiensten kan beheren. Met deze opzet heeft de partnerorganisatie volledige controle over de implementatie en het beheer van encryptiesleutels. Bovendien worden gebruikersgegevens van klantorganisaties veilig gehouden tegen externe toegang. Partnerorganisaties stellen HDS-instanties in en creëren indien nodig HDS-clusters. Elk exemplaar kan meerdere klantorganisaties ondersteunen, in tegenstelling tot een reguliere HDS-implementatie die beperkt is tot één enkele organisatie.

Partnerorganisaties hebben weliswaar controle over de implementatie en het beheer, maar hebben geen toegang tot de door klanten gegenereerde gegevens en content. Deze toegang is beperkt tot klantorganisaties en hun gebruikers.

Hierdoor kunnen ook kleinere organisaties gebruikmaken van HDS, omdat de sleutelbeheerservice en de beveiligingsinfrastructuur, zoals datacenters, eigendom zijn van de vertrouwde lokale partner.

Hoe Multi-Tenant Hybrid Data Security zorgt voor datasoevereiniteit en datacontrole

  • Door gebruikers gegenereerde content is beschermd tegen externe toegang, bijvoorbeeld van aanbieders van clouddiensten.
  • Lokale, vertrouwde partners beheren de encryptiesleutels van klanten waarmee zij al een vaste relatie hebben.
  • Optie voor lokale technische ondersteuning, indien aangeboden door de partner.
  • Ondersteunt vergaderingen, berichten en telefoongesprekken.

Dit document is bedoeld om partnerorganisaties te helpen bij het opzetten en beheren van klanten via een Multi-Tenant Hybrid Data Security-systeem.

Beperkingen van hybride gegevensbeveiliging voor meerdere tenants

  • Partnerorganisaties mogen geen bestaande HDS-implementatie actief hebben in Control Hub.
  • Tenant- of klantorganisaties die door een partner beheerd willen worden, mogen geen bestaande HDS-implementatie in Control Hub hebben.
  • Zodra Multi-Tenant HDS door de partner is geïmplementeerd, beginnen alle gebruikers van klantorganisaties, evenals gebruikers van de partnerorganisatie, Multi-Tenant HDS te gebruiken voor hun encryptieservices.

    De partnerorganisatie en de door hen beheerde klantorganisaties bevinden zich op dezelfde Multi-Tenant HDS-implementatie.

    De partnerorganisatie maakt geen gebruik meer van cloud-KMS nadat Multi-Tenant HDS is geïmplementeerd.

  • Er is geen mechanisme om sleutels terug te verplaatsen naar Cloud KMS na een HDS-implementatie.
  • Momenteel kan elke Multi-Tenant HDS-implementatie slechts één cluster met meerdere knooppunten daaronder hebben.
  • Voor beheerdersrollen gelden bepaalde beperkingen. Zie het onderstaande gedeelte voor meer informatie.

Rollen in multi-tenant hybride gegevensbeveiliging

  • Partner volledige beheerder - Kan instellingen beheren voor alle klanten die de partner beheert. Kan ook beheerdersrollen toewijzen aan bestaande gebruikers in de organisatie en specifieke klanten toewijzen die moeten worden beheerd door partnerbeheerders.
  • Partnerbeheerder - Kan instellingen beheren voor klanten die door de beheerder zijn ingericht of die aan de gebruiker zijn toegewezen.
  • Volledige beheerder - Beheerder van de partnerorganisatie die bevoegd is om taken uit te voeren, zoals het wijzigen van organisatie-instellingen, het beheren van licenties en het toewijzen van rollen.
  • End-to-end Multi-Tenant HDS-installatie en -beheer van alle klantorganisaties - Volledige partnerbeheerder en volledige beheerdersrechten vereist.
  • Beheer van toegewezen tenantorganisaties - Partnerbeheerder en volledige beheerdersrechten vereist.

Beveiligingsdomeinarchitectuur

De Webex-cloudarchitectuur verdeelt verschillende soorten services in afzonderlijke domeinen, of vertrouwensdomeinen, zoals hieronder weergegeven.

Realms of Separation (zonder hybride gegevensbeveiliging)

Om Hybrid Data Security beter te begrijpen, kijken we eerst naar deze pure cloud-case, waarbij Cisco alle functies in zijn clouddomeinen aanbiedt. De identiteitsservice, de enige plek waar gebruikers direct gecorreleerd kunnen worden met hun persoonlijke gegevens, zoals hun e-mailadres, is logisch en fysiek gescheiden van het beveiligingsdomein in datacenter B. Beide zijn op hun beurt gescheiden van het domein waar uiteindelijk de versleutelde content wordt opgeslagen, in datacenter C.

In dit diagram is de client de Webex-app die op de laptop van een gebruiker draait en die is geverifieerd bij de identiteitsservice. Wanneer de gebruiker een bericht opstelt om naar een ruimte te verzenden, vinden de volgende stappen plaats:

  1. De client maakt een beveiligde verbinding met de Key Management Service (KMS) en vraagt vervolgens een sleutel aan om het bericht te versleutelen. De beveiligde verbinding maakt gebruik van ECDH en de KMS versleutelt de sleutel met een AES-256-hoofdsleutel.

  2. Het bericht wordt gecodeerd voordat het de client verlaat. De client stuurt het naar de indexeringsservice, die gecodeerde zoekindexen maakt om toekomstige zoekopdrachten naar de inhoud te vergemakkelijken.

  3. Het gecodeerde bericht wordt naar de nalevingsservice verzonden voor nalevingscontroles.

  4. Het gecodeerde bericht wordt opgeslagen in het opslagdomein.

Wanneer u Hybrid Data Security implementeert, verplaatst u de beveiligingsfuncties (KMS, indexering en naleving) naar uw on-premises datacenter. De andere cloudservices waaruit Webex bestaat (inclusief identiteits- en inhoudsopslag) blijven binnen het domein van Cisco.

Samenwerken met andere organisaties

Gebruikers in uw organisatie gebruiken de Webex-app mogelijk regelmatig om samen te werken met externe deelnemers in andere organisaties. Wanneer een van uw gebruikers een sleutel aanvraagt voor een ruimte die eigendom is van uw organisatie (omdat deze is aangemaakt door een van uw gebruikers), verstuurt uw KMS de sleutel via een beveiligd ECDH-kanaal naar de client. Wanneer een andere organisatie echter de sleutel voor de ruimte bezit, stuurt uw KMS de aanvraag via een afzonderlijk ECDH-kanaal naar de Webex-cloud om de sleutel van de juiste KMS op te halen. Vervolgens wordt de sleutel via het oorspronkelijke kanaal naar uw gebruiker geretourneerd.

De KMS-service die op Org A draait, valideert de verbindingen met KMS'en in andere organisaties met behulp van x.509 PKI-certificaten. Zie Uw omgeving voorbereiden voor meer informatie over het genereren van een x.509-certificaat voor gebruik met uw Multi-Tenant Hybrid Data Security-implementatie.

Verwachtingen voor de implementatie van hybride gegevensbeveiliging

Voor de implementatie van Hybrid Data Security is een aanzienlijke inzet vereist. Daarnaast is er bewustzijn nodig van de risico's die het bezit van encryptiesleutels met zich meebrengt.

Om Hybrid Data Security te implementeren, moet u het volgende doen:

  • Een beveiligd datacenter in een land dat een ondersteunde locatie is voor de Cisco Webex Teams-abonnementen.

  • De apparatuur, software en netwerktoegang die worden beschreven in Uw omgeving voorbereiden.

Als de configuratie-ISO die u voor Hybrid Data Security hebt gemaakt of de database die u hebt opgegeven, volledig verloren gaat, gaan ook de sleutels verloren. Door sleutelverlies kunnen gebruikers geen ruimte-inhoud en andere gecodeerde gegevens in de Webex-app decoderen. Als dit gebeurt, kunt u een nieuwe implementatie bouwen, maar alleen de nieuwe inhoud zal zichtbaar zijn. Om te voorkomen dat u geen toegang meer heeft tot uw gegevens, moet u:

  • Beheer de back-up en het herstel van de database en de ISO-configuratie.

  • Zorg dat u voorbereid bent en snel herstel kunt uitvoeren als er een ramp plaatsvindt, zoals een databasediskstoring of een ramp in het datacenter.

Er is geen mechanisme om sleutels terug te verplaatsen naar de Cloud na een HDS-implementatie.

Hoogwaardig installatieproces

Dit document beschrijft de installatie en het beheer van een Multi-Tenant Hybrid Data Security-implementatie:

  • Hybride gegevensbeveiliging instellen—Dit omvat het voorbereiden van de vereiste infrastructuur en het installeren van Hybride gegevensbeveiligingssoftware, het bouwen van een HDS-cluster, het toevoegen van tenantorganisaties aan het cluster en het beheren van hun Customer Main Keys (CMK's). Hierdoor kunnen alle gebruikers van uw klantorganisaties uw Hybrid Data Security-cluster gebruiken voor beveiligingsfuncties.

    In de volgende drie hoofdstukken worden de installatie-, activerings- en beheerfasen uitgebreid besproken.

  • Onderhoud uw Hybrid Data Security-implementatie—De Webex-cloud biedt automatisch doorlopende upgrades. Uw IT-afdeling kan ondersteuning op het hoogste niveau bieden voor deze implementatie en indien nodig Cisco-ondersteuning inschakelen. U kunt meldingen op het scherm gebruiken en e-mailwaarschuwingen instellen in Partner Hub.

  • Begrijp veelvoorkomende waarschuwingen, stappen voor probleemoplossing en bekende problemen—Als u problemen ondervindt bij de implementatie of het gebruik van Hybrid Data Security, kunnen het laatste hoofdstuk van deze handleiding en de bijlage Bekende problemen u helpen het probleem te bepalen en op te lossen.

Hybride implementatiemodel voor gegevensbeveiliging

Binnen uw bedrijfsdatacenter implementeert u Hybrid Data Security als één cluster van knooppunten op afzonderlijke virtuele hosts. De knooppunten communiceren met de Webex-cloud via beveiligde websockets en beveiligde HTTP.

Tijdens het installatieproces ontvangt u het OVA-bestand waarmee u het virtuele apparaat kunt instellen op de virtuele machines die u aanlevert. Met de HDS Setup Tool maakt u een aangepast ISO-bestand voor de clusterconfiguratie dat u op elk knooppunt koppelt. Het Hybrid Data Security-cluster maakt gebruik van uw opgegeven Syslogd-server en een PostgreSQL- of Microsoft SQL Server-database. (U configureert de Syslogd- en databaseverbindingsgegevens in de HDS Setup Tool.)

Hybride implementatiemodel voor gegevensbeveiliging

Het minimale aantal knooppunten in een cluster is twee. Wij adviseren minimaal drie per cluster. Door meerdere knooppunten te hebben, wordt ervoor gezorgd dat de service niet wordt onderbroken tijdens een software-upgrade of andere onderhoudsactiviteiten op een knooppunt. (De Webex-cloud upgradet slechts één knooppunt tegelijk.)

Alle knooppunten in een cluster hebben toegang tot dezelfde sleutelgegevensopslag en registreren activiteiten op dezelfde syslogserver. De knooppunten zelf zijn stateless en verwerken belangrijke verzoeken op een 'round-robin'-manier, zoals aangegeven door de cloud.

Nodes worden actief wanneer u ze registreert in Partner Hub. Als u een individueel knooppunt uit dienst wilt nemen, kunt u het afmelden en later, indien nodig, opnieuw registreren.

Standby Data Center voor Disaster Recovery

Tijdens de implementatie zorgt u voor een veilig stand-by datacenter. In het geval van een ramp in uw datacenter kunt u uw implementatie handmatig overzetten naar het standby-datacenter.

Datacenter A beschikt vóór de failover over actieve HDS-knooppunten en de primaire PostgreSQL- of Microsoft SQL Server-database, terwijl B een kopie van het ISO-bestand heeft met aanvullende configuraties, VM's die bij de organisatie zijn geregistreerd en een standby-database. Na de failover beschikt datacenter B over actieve HDS-knooppunten en de primaire database, terwijl datacenter A niet-geregistreerde VM's en een kopie van het ISO-bestand heeft en de database in de stand-bymodus staat.
Handmatige failover naar standby datacenter

De databases van de actieve en standby datacenters zijn met elkaar gesynchroniseerd, waardoor de tijd die nodig is voor het uitvoeren van de failover tot een minimum wordt beperkt.

De actieve Hybrid Data Security-knooppunten moeten zich altijd in hetzelfde datacenter bevinden als de actieve databaseserver.

Proxy ondersteuning

Hybride gegevensbeveiliging biedt ondersteuning voor expliciete, transparante inspectie en het niet-geïnspecteerde proxy's. U kunt deze proxy's koppelen aan uw implementatie zodat u verkeer van de onderneming kunt beveiligen en controleren naar de Cloud. U kunt een platformbeheer interface gebruiken op de knooppunten voor certificaatbeheer en de algehele verbindingsstatus controleren nadat u de proxy op de knooppunten hebt ingesteld.

De knooppunten voor hybride data beveiliging ondersteunen de volgende proxy opties:

  • Geen proxy—De standaardinstelling als u de Trust Store voor HDS-knooppuntinstellingen niet gebruikt & Proxyconfiguratie om een proxy te integreren. Er is geen certificaat update vereist.

  • Transparante, niet-inspecterende proxy—De knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en er mogen geen wijzigingen nodig zijn om met een niet-inspecterende proxy te werken. Er is geen certificaat update vereist.

  • Transparante tunneling of inspectieproxy—De knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen HTTP-of HTTPS-configuratiewijzigingen nodig op de knooppunten. De knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).

  • Expliciete proxy—Met een expliciete proxy vertelt u de HDS-knooppunten welke proxyserver en welk authenticatieschema ze moeten gebruiken. Als u een expliciete proxy wilt configureren, moet u op elk knooppunt de volgende informatie invoeren:

    1. Volmacht IP/FQDN—Adres dat kan worden gebruikt om de proxyserver te bereiken.

    2. Proxypoort—Een poortnummer dat de proxy gebruikt om te luisteren naar proxyverkeer.

    3. Proxyprotocol— Afhankelijk van wat uw proxyserver ondersteunt, kunt u kiezen uit de volgende protocollen:

      • HTTP: alle aanvragen die de client verzendt, worden weergegeven en beheerd.

      • HTTPS: geeft een kanaal aan de server. De client ontvangt en valideert het certificaat van de server.

    4. Authenticatietype—Kies uit de volgende authenticatietypen:

      • Geen—Er is geen verdere authenticatie vereist.

        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

      • Basis—Wordt gebruikt door een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het doen van een aanvraag. Gebruikt base64-codering.

        Beschikbaar als u HTTP of HTTPS als het proxy protocol selecteert.

        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

      • Digest—Wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

        Alleen beschikbaar als u HTTPS als proxy protocol selecteert.

        Hiervoor moet u de gebruikersnaam en het wachtwoord invoeren op elk knooppunt.

Voorbeeld van knooppunten en proxy voor hybride data beveiliging

Dit diagram toont een voorbeeld van een verbinding tussen de hybride gegevensbeveiliging, het netwerk en een proxy. Voor de instellingen voor transparant inspecteren en HTTPS expliciet controleren, moeten dezelfde hoofdcertificaat op de proxy en op de knooppunten voor hybride data beveiliging worden geïnstalleerd.

Geblokkeerde externe DNS-omzettingsmodus (expliciete proxy configuraties)

Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. In implementaties met expliciete proxyconfiguraties die geen externe DNS-omzetting voor interne clients toestaan, als het knooppunt de DNS-servers niet kan opvragen, wordt de geblokkeerde externe DNS-omzettingsmodus automatisch ingeschakeld. In deze modus kan de registratie van knooppunten en andere proxy connectiviteitstests worden voortgezet.

Uw omgeving voorbereiden

Vereisten voor hybride gegevensbeveiliging voor meerdere tenants

Cisco Webex-licentievereisten

Voor de implementatie van Multi-Tenant Hybrid Data Security:

  • Partnerorganisaties: Neem contact op met uw Cisco-partner of accountmanager en zorg ervoor dat de functie Multi-Tenant is ingeschakeld.

  • Huurdersorganisaties: U moet Pro Pack voor Cisco Webex Control Hub hebben. (Zie https://www.cisco.com/go/pro-pack.)

Docker Desktop-vereisten

Voordat u uw HDS-knooppunten installeert, moet u Docker Desktop gebruiken om een installatieprogramma uit te voeren. Docker heeft onlangs zijn licentiemodel bijgewerkt. Uw organisatie kan een betaald abonnement voor Docker Desktop vereisen. Zie het Docker-blogbericht ' Docker is bezig ons productabonnement bij te werken en uit te breiden' voor meer informatie.

Klanten zonder een Docker Desktop-licentie kunnen een opensourcecontainerbeheertool zoals Podman Desktop gebruiken om containers uit te voeren, te beheren en te maken. Zie HDS-installatietool uitvoeren met Podman Desktop voor meer informatie.

X.509-certificaatvereisten

De certificaatketen moet aan de volgende vereisten voldoen:

Tabel 1. X.509-certificaatvereisten voor hybride implementatie van gegevensbeveiliging

Vereiste

Details

  • Ondertekend door een vertrouwde certificeringsinstantie (CA)

Standaard vertrouwen we de CA's in de Mozilla-lijst (met uitzondering van WoSign en StartCom) op https://wiki.mozilla.org/CA:IncludedCAs.

  • Heeft een Common Name (CN)-domeinnaam die uw Hybrid Data Security-implementatie identificeert

  • Is geen wildcardcertificaat

Het is niet nodig dat de CN bereikbaar is of een actieve host is. Wij raden u aan een naam te gebruiken die uw organisatie weerspiegelt, bijvoorbeeld hds.company.com.

De CN mag geen * (wildcard).

De CN wordt gebruikt om de Hybrid Data Security-knooppunten te verifiëren op Webex-appclients. Alle Hybrid Data Security-knooppunten in uw cluster gebruiken hetzelfde certificaat. Uw KMS identificeert zichzelf met behulp van het CN-domein en niet met een domein dat is gedefinieerd in de x.509v3 SAN-velden.

Nadat u een knooppunt met dit certificaat hebt geregistreerd, ondersteunen wij het wijzigen van de CN-domeinnaam niet meer.

  • Niet-SHA1-handtekening

De KMS-software ondersteunt geen SHA1-handtekeningen voor het valideren van verbindingen met KMS'en van andere organisaties.

  • Geformatteerd als een met een wachtwoord beveiligde PKCS #12 bestand

  • Gebruik de vriendelijke naam kms-private-key om het certificaat, de persoonlijke sleutel en eventuele tussenliggende certificaten die u wilt uploaden, te taggen.

U kunt een converter zoals OpenSSL gebruiken om de indeling van uw certificaat te wijzigen.

U moet het wachtwoord invoeren wanneer u de HDS Setup Tool uitvoert.

De KMS-software dwingt geen sleutelgebruik af en stelt geen uitgebreide beperkingen aan sleutelgebruik. Sommige certificeringsinstanties vereisen dat er uitgebreide sleutelgebruikbeperkingen worden toegepast op elk certificaat, zoals serverauthenticatie. Het is oké om de serverauthenticatie of andere instellingen te gebruiken.

Vereisten voor virtuele hosts

De virtuele hosts die u als Hybrid Data Security-knooppunten in uw cluster instelt, voldoen aan de volgende vereisten:

  • Minimaal twee afzonderlijke hosts (3 aanbevolen) gecoloceerd in hetzelfde beveiligde datacenter

  • VMware ESXi 7.0 of 8.0 geïnstalleerd en actief.

    U moet upgraden als u een eerdere versie van ESXi hebt.

  • Minimaal 4 vCPU's, 8 GB hoofdgeheugen, 30 GB lokale harde schijfruimte per server

Vereisten voor databaseservers

Maak een nieuwe database voor het opslaan van sleutels. Gebruik niet de standaarddatabase. Zodra de HDS-toepassingen zijn geïnstalleerd, wordt het databaseschema gemaakt.

Er zijn twee opties voor de databaseserver. De vereisten voor elk zijn als volgt:

Tabel 2. Vereisten voor databaseservers per type database

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 of 16, geïnstalleerd en actief.

  • SQL Server 2016, 2017, 2019 of 2022 (Enterprise of Standard) geïnstalleerd.

    Voor SQL Server 2016 hebt u Service Pack 2 en Cumulative Update 2 of hoger nodig.

Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende harde schijfruimte en monitoring om te garanderen dat dit niet wordt overschreden (2 TB wordt aanbevolen als u de database gedurende een lange tijd wilt laten draaien zonder de opslag te hoeven vergroten)

Minimaal 8 vCPU's, 16 GB hoofdgeheugen, voldoende harde schijfruimte en monitoring om te garanderen dat dit niet wordt overschreden (2 TB wordt aanbevolen als u de database gedurende een lange tijd wilt laten draaien zonder de opslag te hoeven vergroten)

De HDS-software installeert momenteel de volgende driverversies voor communicatie met de databaseserver:

PostgreSQL

Microsoft SQL Server

Postgres JDBC-stuurprogramma 42.2.5

SQL Server JDBC-stuurprogramma 4.6

Deze driverversie ondersteunt SQL Server Always On ( Always On Failover Cluster Instances en Always On-beschikbaarheidsgroepen).

Aanvullende vereisten voor Windows-verificatie tegen Microsoft SQL Server

Als u wilt dat HDS-knooppunten Windows-verificatie gebruiken om toegang te krijgen tot uw keystore-database op Microsoft SQL Server, hebt u de volgende configuratie in uw omgeving nodig:

  • De HDS-knooppunten, Active Directory-infrastructuur en MS SQL Server moeten allemaal gesynchroniseerd zijn met NTP.

  • Het Windows-account dat u aan HDS-knooppunten verstrekt, moet: read/write toegang tot de database.

  • De DNS-servers die u aan HDS-knooppunten verstrekt, moeten uw Key Distribution Center (KDC) kunnen omzetten.

  • U kunt het HDS-database-exemplaar op uw Microsoft SQL Server registreren als een Service Principal Name (SPN) in uw Active Directory. Zie Registreer een Service Principal Name voor Kerberos-verbindingen.

    Voor de HDS-installatietool, HDS-launcher en lokale KMS is Windows-verificatie vereist om toegang te krijgen tot de keystore-database. Ze gebruiken de gegevens uit uw ISO-configuratie om de SPN samen te stellen bij het aanvragen van toegang met Kerberos-authenticatie.

Vereisten voor externe connectiviteit

Configureer uw firewall om de volgende connectiviteit voor de HDS-toepassingen toe te staan:

Toepassing

Protocol

Poort

Routebeschrijving vanaf App

Bestemming

Hybride gegevensbeveiligingsknooppunten

TCP

443

Uitgaande HTTPS en WSS

  • Webex-servers:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-hosts

  • Andere URL's die worden vermeld voor Hybride gegevensbeveiliging in de tabel Extra URL's voor hybride Webex-services van Netwerkvereisten voor Webex-services

HDS-installatietool

TCP

443

Uitgaande HTTPS

  • *.wbx2.com

  • Alle Common Identity-hosts

  • hub.docker.com

De Hybrid Data Security-knooppunten werken met Network Access Translation (NAT) of achter een firewall, zolang de NAT of firewall de vereiste uitgaande verbindingen naar de domeinbestemmingen in de voorgaande tabel toestaat. Voor verbindingen die naar de Hybrid Data Security-knooppunten gaan, mogen geen poorten zichtbaar zijn vanaf internet. Binnen uw datacenter hebben clients toegang nodig tot de Hybrid Data Security-knooppunten op TCP-poorten 443 en 22 voor administratieve doeleinden.

De URL's voor de Common Identity (CI)-hosts zijn regiospecifiek. Dit zijn de huidige CI-hosts:

Regio

Common Identity Host-URL's

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Europese Unie

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore
  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

Verenigde Arabische Emiraten
  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Vereisten voor de proxy server

  • We ondersteunen de volgende proxy oplossingen die kunnen worden geïntegreerd met uw knooppunten voor hybride data beveiliging.

    • Transparante proxy: Cisco Web Security Appliance (WSA).

    • Expliciete proxy-pijlinktvis.

      Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de totstandkoming van websockets verstoren (wss:) verbindingen. Om dit probleem te omzeilen, zie Squid-proxy's configureren voor hybride gegevensbeveiliging.

  • We ondersteunen de volgende combinaties van verificatietypen voor expliciete proxy's:

    • Geen verificatie met HTTP of HTTPS

    • Basisverificatie met HTTP of HTTPS

    • Alleen verificatiesamenvatting met HTTPS

  • Voor een transparante inspectie proxy of een HTTPS-expliciete proxy moet u een kopie van de hoofdcertificaat van de proxy hebben. De implementatie-instructies in deze handleiding geven aan hoe u de kopie kunt uploaden naar de vertrouwens archieven van de hybride Data Security-knooppunten.

  • Het netwerk dat de HDS-knooppunten host, moet worden geconfigureerd om uitgaand TCP-verkeer op poort 443 af te ronden via de proxy.

  • Proxy's die het webverkeer controleren, kunnen de WebSocket-verbindingen belemmeren. Als dit probleem zich voordoet, wordt het probleem opgelost door het verkeer naar wbx2.com en ciscospark.com te omzeilen (niet te controleren).

Voltooi de vereisten voor hybride gegevensbeveiliging

Gebruik deze checklist om te controleren of u klaar bent om uw Hybrid Data Security-cluster te installeren en configureren.
1

Zorg ervoor dat uw partnerorganisatie de Multi-Tenant HDS-functie heeft ingeschakeld en dat u de inloggegevens krijgt van een partneraccount met volledige beheerdersrechten. Zorg ervoor dat uw Webex-klantorganisatie is ingeschakeld voor Pro Pack voor Cisco Webex Control Hub. Neem contact op met uw Cisco-partner of accountmanager voor hulp bij dit proces.

Klantorganisaties mogen geen bestaande HDS-implementatie hebben.

2

Kies een domeinnaam voor uw HDS-implementatie (bijvoorbeeld hds.company.com) en verkrijg een certificaatketen met een X.509-certificaat, een privésleutel en eventuele tussenliggende certificaten. De certificaatketen moet voldoen aan de vereisten in X.509-certificaatvereisten.

3

Bereid identieke virtuele hosts voor die u als Hybrid Data Security-knooppunten in uw cluster instelt. U hebt minimaal twee afzonderlijke hosts (3 aanbevolen) nodig die zich in hetzelfde beveiligde datacenter bevinden en die voldoen aan de vereisten in Vereisten voor virtuele hosts.

4

Bereid de databaseserver voor die als belangrijkste gegevensopslag voor het cluster zal fungeren, volgens de Vereisten voor databaseserver. De databaseserver moet zich in het beveiligde datacenter bij de virtuele hosts bevinden.

  1. Maak een database voor het opslaan van sleutels. (U moet deze database aanmaken. Gebruik niet de standaarddatabase. Wanneer de HDS-toepassingen zijn geïnstalleerd, worden ze gebruikt om het databaseschema te maken.)

  2. Verzamel de gegevens die de knooppunten zullen gebruiken om te communiceren met de databaseserver:

    • de hostnaam of het IP-adres (host) en de poort

    • de naam van de database (dbname) voor sleutelopslag

    • de gebruikersnaam en het wachtwoord van een gebruiker met alle rechten op de sleutelopslagdatabase

5

Voor snel herstel na een ramp kunt u een back-upomgeving in een ander datacenter opzetten. De back-upomgeving weerspiegelt de productieomgeving van VM's en een back-updatabaseserver. Als de productie bijvoorbeeld drie virtuele machines heeft die HDS-knooppunten uitvoeren, moet de back-upomgeving ook drie virtuele machines hebben.

6

Stel een sysloghost in om logboeken van de knooppunten in het cluster te verzamelen. Verzamel het netwerkadres en de syslogpoort (standaard is dit UDP 514).

7

Maak een veilig back-upbeleid voor de Hybrid Data Security-knooppunten, de databaseserver en de sysloghost. Om onherstelbaar gegevensverlies te voorkomen, moet u minimaal een back-up maken van de database en het ISO-configuratiebestand dat is gegenereerd voor de Hybrid Data Security-knooppunten.

Omdat de Hybrid Data Security-knooppunten de sleutels opslaan die worden gebruikt voor het versleutelen en ontsleutelen van inhoud, zal het niet onderhouden van een operationele implementatie resulteren in het ONHERSTELBAAR VERLIES van die inhoud.

Webex-appclients slaan hun sleutels op in de cache. Een storing merkt u daarom mogelijk niet meteen, maar dit kan na verloop van tijd duidelijk worden. Hoewel tijdelijke stroomuitval niet kan worden voorkomen, kan deze wel worden hersteld. Echter, indien de database of het ISO-configuratiebestand geheel verloren gaat (geen back-ups beschikbaar), zullen de klantgegevens niet meer te herstellen zijn. Van de beheerders van de Hybrid Data Security-knooppunten wordt verwacht dat zij regelmatig back-ups maken van de database en het ISO-configuratiebestand en dat zij voorbereid zijn om het Hybrid Data Security-datacenter opnieuw op te bouwen als er een catastrofale storing optreedt.

8

Zorg ervoor dat uw firewallconfiguratie connectiviteit toestaat voor uw Hybrid Data Security-knooppunten, zoals beschreven in Vereisten voor externe connectiviteit.

9

Installeer Docker ( https://www.docker.com) op elke lokale machine met een ondersteund besturingssysteem (Microsoft Windows 10 Professional of Enterprise 64-bit, of Mac OSX Yosemite 10.10.3 of hoger) met een webbrowser die er toegang toe heeft via http://127.0.0.1:8080.

U gebruikt het Docker-exemplaar om de HDS Setup Tool te downloaden en uit te voeren. Deze tool bouwt de lokale configuratiegegevens voor alle Hybrid Data Security-knooppunten. Mogelijk hebt u een Docker Desktop-licentie nodig. Zie Docker Desktop-vereisten voor meer informatie.

Om de HDS Setup Tool te installeren en uit te voeren, moet de lokale computer beschikken over de connectiviteit die is beschreven in Vereisten voor externe connectiviteit.

10

Als u een proxy integreert met Hybrid Data Security, zorg er dan voor dat deze voldoet aan de Proxyserververeisten.

Een hybride databeveiligingscluster instellen

Taakstroom voor implementatie van hybride gegevensbeveiliging

Voordat u begint

1

Voer de eerste installatie uit en download de installatiebestanden

Download het OVA-bestand naar uw lokale computer voor later gebruik.

2

Maak een configuratie-ISO voor de HDS-hosts

Gebruik de HDS Setup Tool om een ISO-configuratiebestand voor de Hybrid Data Security-knooppunten te maken.

3

Installeer de HDS Host OVA

Maak een virtuele machine van het OVA-bestand en voer de eerste configuratie uit, zoals netwerkinstellingen.

De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 7.0 en 8.0. Deze optie is mogelijk niet beschikbaar in oudere versies.

4

De Hybrid Data Security VM instellen

Meld u aan bij de VM-console en stel de aanmeldgegevens in. Configureer de netwerkinstellingen voor het knooppunt als u deze nog niet hebt geconfigureerd tijdens de OVA-implementatie.

5

Upload en koppel de HDS-configuratie-ISO

Configureer de VM vanuit het ISO-configuratiebestand dat u met de HDS Setup Tool hebt gemaakt.

6

Configureer het HDS-knooppunt voor proxy-integratie

Als de netwerkomgeving proxyconfiguratie vereist, geeft u het type proxy op dat u voor het knooppunt wilt gebruiken en voegt u indien nodig het proxycertificaat toe aan de trust store.

7

Registreer het eerste knooppunt in het cluster

Registreer de VM bij de Cisco Webex-cloud als een Hybrid Data Security-knooppunt.

8

Meer knooppunten aanmaken en registreren

Voltooi de clusterconfiguratie.

9

Activeer Multi-Tenant HDS op Partner Hub.

Activeer HDS en beheer tenantorganisaties op Partner Hub.

Voer de eerste installatie uit en download de installatiebestanden

Bij deze taak downloadt u een OVA-bestand naar uw computer (niet naar de servers die u hebt ingesteld als Hybrid Data Security-knooppunten). U gebruikt dit bestand later in het installatieproces.

1

Meld u aan bij Partner Hub en klik vervolgens op Services.

2

Zoek in het gedeelte Cloud Services de kaart Hybride gegevensbeveiliging en klik vervolgens op Instellen.

Het klikken op Instellen in Partner Hub is cruciaal voor het implementatieproces. Ga niet verder met de installatie voordat u deze stap hebt voltooid.

3

Klik op Een bron toevoegen en klik op OVA-bestand downloaden op de kaart Software installeren en configureren.

Oudere versies van het softwarepakket (OVA) zijn niet compatibel met de nieuwste upgrades van Hybrid Data Security. Dit kan leiden tot problemen bij het upgraden van de applicatie. Zorg ervoor dat u de nieuwste versie van het OVA-bestand downloadt.

U kunt de OVA ook op elk gewenst moment downloaden via de sectie Help. Klik Instellingen > Hulp > Download de software voor hybride gegevensbeveiliging.

Het OVA-bestand wordt automatisch gedownload. Sla het bestand op een locatie op uw computer op.
4

U kunt desgewenst op Zie implementatiehandleiding voor hybride gegevensbeveiliging klikken om te controleren of er een nieuwere versie van deze handleiding beschikbaar is.

Maak een configuratie-ISO voor de HDS-hosts

Tijdens het installatieproces van Hybrid Data Security wordt een ISO-bestand gemaakt. Vervolgens gebruikt u de ISO om uw Hybrid Data Security-host te configureren.

Voordat u begint

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stable

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stable

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De installatietool ondersteunt geen verbinding met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Ga met een webbrowser naar de localhost, http://127.0.0.1:8080, en voer bij de prompt de beheerdersgebruikersnaam voor Partner Hub in.

De tool gebruikt de eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Vervolgens geeft de tool het standaard aanmeldscherm weer.

7

Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor Partner Hub-beheerder in en klikt u op Aanmelden om toegang te verlenen tot de vereiste services voor Hybrid Data Security.

8

Klik op de overzichtspagina van de installatietool op Aan de slag.

9

Op de pagina ISO-import hebt u de volgende opties:

  • Nee— Als u uw eerste HDS-knooppunt maakt, hebt u geen ISO-bestand om te uploaden.
  • Ja—Als u al HDS-knooppunten hebt aangemaakt, selecteert u uw ISO-bestand in het bladermenu en uploadt u het.
10

Controleer of uw X.509-certificaat voldoet aan de vereisten in X.509-certificaatvereisten.

  • Als u nog nooit eerder een certificaat hebt geüpload, upload dan het X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
  • Als uw certificaat in orde is, klikt u op Doorgaan.
  • Als uw certificaat is verlopen of u het wilt vervangen, selecteert u Nee voor Doorgaan met het gebruiken van HDS-certificaatketen en privésleutel van vorige ISO?. Upload een nieuw X.509-certificaat, voer het wachtwoord in en klik op Doorgaan.
11

Voer het databaseadres en -account voor HDS in om toegang te krijgen tot uw belangrijkste gegevensopslag:

  1. Selecteer uw Databasetype (PostgreSQL of Microsoft SQL Server).

    Als u Microsoft SQL Serverkiest, krijgt u een veld Authenticatietype.

  2. (Microsoft SQL Server alleen) Selecteer uw Authenticatietype:

    • Basisverificatie: U hebt een lokale SQL Server-accountnaam nodig in het veld Gebruikersnaam.

    • Windows-verificatie: U hebt een Windows-account nodig in de indeling username@DOMAIN in het veld Gebruikersnaam.

  3. Voer het adres van de databaseserver in de vorm : of :in.

    Voorbeeld:
    dbhost.example.org:1433 of 198.51.100.17:1433

    U kunt een IP-adres gebruiken voor basisverificatie als de knooppunten DNS niet kunnen gebruiken om de hostnaam om te zetten.

    Als u Windows-verificatie gebruikt, moet u een volledig gekwalificeerde domeinnaam invoeren in de indeling dbhost.example.org:1433

  4. Voer de Databasenaamin .

  5. Voer de gebruikersnaam en wachtwoord in van een gebruiker met alle rechten op de sleutelopslagdatabase.

12

Selecteer een TLS-databaseverbindingsmodus:

Mode

Beschrijving

TLS-voorkeur (standaardoptie)

HDS-knooppunten vereisen geen TLS om verbinding te maken met de databaseserver. Als u TLS op de databaseserver inschakelt, proberen de knooppunten een gecodeerde verbinding tot stand te brengen.

TLS verplichten

HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

TLS verplichten en certificaat ondertekenaar verifiëren

Deze modus is niet van toepassing op SQL Server-databases.

  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

  • Nadat een TLS-verbinding tot stand is gebracht, vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in de Database root-certificaat. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

TLS verplichten en certificaat ondertekenaar en hostnaam verifiëren

  • HDS-knooppunten maken alleen verbinding als de databaseserver kan onderhandelen over TLS.

  • Nadat een TLS-verbinding tot stand is gebracht, vergelijkt het knooppunt de ondertekenaar van het certificaat van de databaseserver met de certificeringsinstantie in de Database root-certificaat. Als deze niet overeenkomen, wordt de verbinding door het knooppunt tot stand brengen.

  • De knooppunten verifiëren ook of de hostnaam in het servercertificaat overeenkomt met de hostnaam in het veld Databasehost en poort. De namen moeten exact overeenkomen, of de verbinding wordt door het knooppunt ingspunt laten merken.

Gebruik de onderstaande hoofdcertificaat databasebeheer om het bestand voor deze hoofdcertificaat te uploaden.

Wanneer u het rootcertificaat uploadt (indien nodig) en op Doorgaanklikt, test de HDS Setup Tool de TLS-verbinding met de databaseserver. De tool controleert ook de ondertekenaar van het certificaat en de hostnaam, indien van toepassing. Als een test mislukt, wordt er een foutmelding weergegeven waarin het probleem wordt beschreven. U kunt kiezen of u de fout wilt negeren en doorgaan met de installatie. (Vanwege connectiviteitsverschillen kunnen de HDS-knooppunten mogelijk de TLS-verbinding tot stand brengen, zelfs als de HDS Setup Tool-machine deze niet succesvol kan testen.)

13

Configureer uw Syslogd-server op de pagina Systeemlogboeken:

  1. Voer de URL van de syslogserver in.

    Als de server niet DNS-oplosbaar is vanaf de knooppunten voor uw HDS-cluster, gebruikt u een IP-adres in de URL.

    Voorbeeld:
    udp://10.92.43.23:514 geeft aan dat er wordt gelogd naar Syslogd host 10.92.43.23 op UDP-poort 514.
  2. Als u uw server instelt voor TLS-codering, vink dan Is uw syslogserver geconfigureerd voor SSL-codering?aan.

    Als u dit selectievakje aanvinkt, zorg er dan voor dat u een TCP-URL invoert, bijvoorbeeld tcp://10.92.43.23:514.

  3. Kies in de vervolgkeuzelijst Kies syslog record beëindiging de juiste instelling voor uw ISO-bestand: Kies of Nieuwe regel wordt gebruikt voor Graylog en Rsyslog TCP

    • Nulbyte -- \x00

    • Nieuwe regel -- \n—Selecteer deze keuze voor Graylog en Rsyslog TCP.

  4. Klik op Doorgaan.

14

(Optioneel) U kunt de standaardwaarde voor sommige databaseverbindingsparameters wijzigen in Geavanceerde instellingen. Normaal gesproken is dit de enige parameter die u wilt wijzigen:

app_datasource_connection_pool_maxSize: 10
15

Klik op Doorgaan op het scherm Serviceaccountwachtwoord opnieuw instellen.

Serviceaccountwachtwoorden hebben een levensduur van negen maanden. Gebruik dit scherm wanneer uw wachtwoorden bijna verlopen of als u ze wilt resetten om eerdere ISO-bestanden ongeldig te maken.

16

Klik ISO-bestand downloaden. Sla het bestand op een locatie op die u gemakkelijk kunt vinden.

17

Maak een back-up van het ISO-bestand op uw lokale systeem.

Bewaar de reservekopie op een veilige plaats. Dit bestand bevat een hoofdencryptiesleutel voor de inhoud van de database. Beperk de toegang tot alleen die Hybrid Data Security-beheerders die configuratiewijzigingen mogen aanbrengen.

18

Om het installatieprogramma af te sluiten, typt u CTRL+C.

De volgende stappen

Maak een back-up van het ISO-configuratiebestand. U hebt het nodig om meer knooppunten voor herstel te maken of om configuratiewijzigingen door te voeren. Als u alle kopieën van het ISO-bestand kwijtraakt, bent u ook de hoofdsleutel kwijt. Het is niet mogelijk om de sleutels uit uw PostgreSQL- of Microsoft SQL Server-database te herstellen.

Wij hebben nooit een kopie van deze sleutel en kunnen u niet helpen als u deze kwijtraakt.

Installeer de HDS Host OVA

Gebruik deze procedure om een virtuele machine te maken van het OVA-bestand.
1

Meld u aan bij de virtuele ESXi-host met de VMware vSphere-client op uw computer.

2

Selecteer Bestand > OVF-sjabloon implementeren.

3

Geef in de wizard de locatie op van het OVA-bestand dat u eerder hebt gedownload en klik vervolgens op Volgende.

4

Voer op de pagina Selecteer een naam en map ] een Virtuele machinenaam in voor het knooppunt (bijvoorbeeld "HDS_Node_1"), kies een locatie waar de implementatie van het virtuele machineknooppunt kan worden ondergebracht en klik vervolgens op Volgende.

5

Selecteer op de pagina Selecteer een computerbron de doelcomputerbron en klik vervolgens op Volgende.

Er wordt een validatiecontrole uitgevoerd. Zodra het proces is voltooid, worden de sjabloondetails weergegeven.

6

Controleer de sjabloongegevens en klik vervolgens op Volgende.

7

Als u op de pagina Configuratie wordt gevraagd de resourceconfiguratie te kiezen, klikt u op 4 CPU en vervolgens op Volgende.

8

Klik op de pagina Opslag selecteren ] op Volgende om de standaard schijfindeling en het VM-opslagbeleid te accepteren.

9

Kies op de pagina Netwerken selecteren de netwerkoptie uit de lijst met vermeldingen om de gewenste connectiviteit met de virtuele machine te bieden.

10

Configureer op de pagina Sjabloon aanpassen de volgende netwerkinstellingen:

  • Hostnaam— Voer de FQDN (hostnaam en domein) of een enkele hostnaam voor het knooppunt in.
    • U hoeft het domein niet zo in te stellen dat het overeenkomt met het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

    • Om een succesvolle registratie bij de cloud te garanderen, gebruikt u alleen kleine letters in de FQDN of hostnaam die u voor het knooppunt instelt. Hoofdletters worden momenteel niet ondersteund.

    • De totale lengte van de FQDN mag niet langer zijn dan 64 tekens.

  • IP-adres— Voer het IP-adres in voor de interne interface van het knooppunt.

    Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

  • Masker—Voer het subnetmaskeradres in punt-decimale notatie in. Bijvoorbeeld 255.255.255.0.
  • Gateway—Voer het IP-adres van de gateway in. Een gateway is een netwerkknooppunt dat als toegangspunt tot een ander netwerk dient.
  • DNS-servers— Voer een door komma's gescheiden lijst in met DNS-servers die de vertaling van domeinnamen naar numerieke IP-adressen verzorgen. (Er zijn maximaal 4 DNS-vermeldingen toegestaan.)
  • NTP-servers—Voer de NTP-server van uw organisatie in of een andere externe NTP-server die in uw organisatie kan worden gebruikt. De standaard NTP-servers werken mogelijk niet voor alle ondernemingen. U kunt ook een door komma's gescheiden lijst gebruiken om meerdere NTP-servers in te voeren.
  • Implementeer alle knooppunten op hetzelfde subnet of VLAN, zodat alle knooppunten in een cluster bereikbaar zijn vanaf clients in uw netwerk voor administratieve doeleinden.

Indien gewenst, kunt u de configuratie van de netwerkinstellingen overslaan en de stappen in De Hybrid Data Security VM instellen volgen om de instellingen vanuit de knooppuntconsole te configureren.

De optie om netwerkinstellingen te configureren tijdens OVA-implementatie is getest met ESXi 7.0 en 8.0. Deze optie is mogelijk niet beschikbaar in oudere versies.

11

Klik met de rechtermuisknop op de knooppunt-VM en kies vervolgens Power > Inschakelen.

De Hybrid Data Security-software wordt als gast op de VM-host geïnstalleerd. U bent nu klaar om u aan te melden bij de console en het knooppunt te configureren.

Tips voor probleemoplossing

Het kan enkele minuten duren voordat de node-containers beschikbaar zijn. Bij de eerste keer opstarten verschijnt er een bericht van de bridge-firewall op de console. Tijdens dit bericht kunt u zich niet aanmelden.

De Hybrid Data Security VM instellen

Gebruik deze procedure om u voor de eerste keer aan te melden bij de VM-console van het Hybrid Data Security-knooppunt en de aanmeldreferenties in te stellen. U kunt ook de console gebruiken om de netwerkinstellingen voor het knooppunt te configureren als u deze nog niet hebt geconfigureerd tijdens de OVA-implementatie.

1

Selecteer in de VMware vSphere-client uw Hybrid Data Security-knooppunt-VM en selecteer het tabblad Console.

De virtuele machine start op en er verschijnt een aanmeldscherm. Als de aanmeldprompt niet wordt weergegeven, drukt u op Enter.
2

Gebruik de volgende standaard login en wachtwoord om in te loggen en uw inloggegevens te wijzigen:

  1. Login: admin

  2. Wachtwoord: cisco

Omdat u zich voor de eerste keer aanmeldt bij uw VM, moet u het beheerderswachtwoord wijzigen.

3

Als u de netwerkinstellingen al hebt geconfigureerd in HDS Host OVA installeren, slaat u de rest van deze procedure over. Anders selecteert u in het hoofdmenu de optie Configuratie bewerken.

4

Stel een statische configuratie in met IP-adres, masker, gateway en DNS-informatie. Uw knooppunt moet een intern IP-adres en DNS-naam hebben. DHCP wordt niet ondersteund.

5

(Optioneel) Wijzig indien nodig de hostnaam, het domein of de NTP-server(s) zodat deze overeenkomen met uw netwerkbeleid.

U hoeft het domein niet zo in te stellen dat het overeenkomt met het domein dat u hebt gebruikt om het X.509-certificaat te verkrijgen.

6

Sla de netwerkconfiguratie op en start de virtuele machine opnieuw op, zodat de wijzigingen van kracht worden.

Upload en koppel de HDS-configuratie-ISO

Gebruik deze procedure om de virtuele machine te configureren vanuit het ISO-bestand dat u hebt gemaakt met de HDS Setup Tool.

Voordat u begint

Omdat het ISO-bestand de hoofdsleutel bevat, mag dit alleen worden vrijgegeven als dat echt nodig is. Het is dan toegankelijk voor de Hybrid Data Security VM's en eventuele beheerders die wijzigingen moeten aanbrengen. Zorg ervoor dat alleen beheerders toegang hebben tot de gegevensopslag.

1

Upload het ISO-bestand vanaf uw computer:

  1. Klik in het linkernavigatiedeelvenster van de VMware vSphere-client op de ESXi-server.

  2. Klik op Opslagin de lijst Hardware op het tabblad Configuratie.

  3. Klik in de lijst Datastores met de rechtermuisknop op de datastore voor uw VM's en klik op Browse Datastore.

  4. Klik op het pictogram Bestand uploaden en klik vervolgens op Bestand uploaden.

  5. Blader naar de locatie waar u het ISO-bestand op uw computer hebt gedownload en klik op Openen.

  6. Klik Ja om de upload/download waarschuwing bij de bewerking en sluit het dialoogvenster Gegevensopslag.

2

Koppel het ISO-bestand:

  1. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  2. Klik op OK om de waarschuwing over de beperkte bewerkingsopties te accepteren.

  3. Klik op CD/DVD Drive 1, selecteer de optie om te koppelen vanuit een ISO-bestand van een datastore en blader naar de locatie waar u het ISO-configuratiebestand hebt geüpload.

  4. Controleer Verbonden en Verbinden bij inschakelen.

  5. Sla uw wijzigingen op en start de virtuele machine opnieuw op.

De volgende stappen

Als uw IT-beleid dit vereist, kunt u het ISO-bestand eventueel ontkoppelen nadat alle knooppunten de configuratiewijzigingen hebben overgenomen. Zie (Optioneel) ISO ontkoppelen na HDS-configuratie voor meer informatie.

Configureer het HDS-knooppunt voor proxy-integratie

Als de netwerkomgeving een proxy vereist, gebruikt u deze procedure om het type proxy op te geven dat u wilt integreren met hybride gegevensbeveiliging. Als u een transparante inspectering proxy of een HTTPS-expliciete proxy kiest, kunt u de interface van het knooppunt gebruiken om de hoofdcertificaat te uploaden en te installeren. U kunt ook de proxyverbinding vanuit de interface controleren en mogelijke problemen oplossen.

Voordat u begint

1

Voer de URL voor de HDS-knooppuntinstallatie https://[HDS Node IP or FQDN]/setup in een webbrowser in, voer de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

2

Ga naar vertrouwens archieven voor vertrouwde proxyen kies een optie:

  • Geen proxy—De standaardoptie voordat u een proxy integreert. Er is geen certificaat update vereist.
  • Transparante, niet-inspecterende proxy— Knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken en zouden geen wijzigingen moeten vereisen om met een niet-inspecterende proxy te werken. Er is geen certificaat update vereist.
  • Transparante inspectieproxy— Knooppunten zijn niet geconfigureerd om een specifiek proxyserveradres te gebruiken. Er zijn geen wijzigingen in de HTTPS-configuratie nodig voor de implementatie van hybride data beveiliging, de HDS-knooppunten hebben echter een hoofdcertificaat nodig zodat ze de proxy kunnen vertrouwen. Het controleren van proxy's wordt meestal gebruikt voor het afdwingen van beleid waarbij websites kunnen worden bezocht en welke typen inhoud niet is toegestaan. Met dit type proxy wordt al uw verkeer gedecodeerd (ook HTTPS).
  • Expliciete proxy—Met een expliciete proxy vertelt u de client (HDS-knooppunten) welke proxyserver moet worden gebruikt. Deze optie ondersteunt verschillende authenticatietypen. Nadat u deze optie hebt gekozen, moet u de volgende informatie invoeren:
    1. Volmacht IP/FQDN—Adres dat kan worden gebruikt om de proxyserver te bereiken.

    2. Proxypoort—Een poortnummer dat de proxy gebruikt om te luisteren naar proxyverkeer.

    3. Proxy Protocol—Kies http (bekijkt en beheert alle verzoeken die van de client worden ontvangen) of https (biedt een kanaal naar de server en de client ontvangt en valideert het certificaat van de server). Kies een optie op basis van wat uw proxyserver ondersteunt.

    4. Authenticatietype—Kies uit de volgende authenticatietypen:

      • Geen—Er is geen verdere authenticatie vereist.

        Beschikbaar voor HTTP-of HTTPS-proxy's.

      • Basis—Wordt gebruikt door een HTTP-gebruikersagent om een gebruikersnaam en wachtwoord op te geven bij het doen van een aanvraag. Gebruikt base64-codering.

        Beschikbaar voor HTTP-of HTTPS-proxy's.

        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

      • Digest—Wordt gebruikt om het account te bevestigen voordat gevoelige informatie wordt verzonden. Past een hash-functie toe op de gebruikersnaam en het wachtwoord voordat deze via het netwerk worden verzonden.

        Alleen beschikbaar voor HTTPS-proxy's.

        Als u deze optie kiest, moet u ook de gebruikersnaam en het wachtwoord invoeren.

Volg de volgende stappen voor een transparante inspectie proxy, een HTTP Explicit-proxy met basisverificatie of een HTTPS-expliciete proxy.

3

Klik op een hoofdcertificaat of eindentiteit certificaat uploadenen navigeer vervolgens naar een kies de hoofdcertificaat voor de proxy.

Het certificaat is geüpload, maar is nog niet geïnstalleerd, omdat u het knooppunt opnieuw moet opstarten om het certificaat te installeren. Klik op de pijlpunt punthaak op de naam van de certificaatuitgever voor meer informatie of klik op verwijderen Als u een fout hebt gemaakt en het bestand opnieuw wilt uploaden.

4

Klik op proxy verbinding controleren om de netwerkverbinding tussen het knooppunt en de proxy te testen.

Als de verbindingstest mislukt, wordt er een foutbericht weergegeven met de reden en hoe u het probleem kunt oplossen.

Als u een bericht ziet dat de externe DNS-omzetting niet is geslaagd, kan het knooppunt de DNS-server niet bereiken. Deze situatie wordt verwacht in veel expliciete proxyconfiguraties. U kunt doorgaan met de installatie en het knooppunt werkt in de geblokkeerde externe DNS-omzettingsmodus. Als u denkt dat dit een fout is, voert u deze stappen uit en raadpleegt u vervolgens Geblokkeerde externe DNS-resolutiemodus uitschakelen.

5

Nadat de verbindingstest is geslaagd, voor expliciete proxy ingesteld op alleen https, schakelt u het in-/uitschakelen in om alle poort 443/444 HTTPS-aanvragen van dit knooppunt te routeren via de expliciete proxy. Deze instelling vereist 15 seconden om van kracht te worden.

6

Klik op alle certificaten installeren in het vertrouwde archief (wordt weergegeven voor een HTTPS-expliciete proxy of een transparante inspectie proxy) of opnieuw opstarten (wordt weergegeven voor een http-expliciete proxy), lees de prompt en klik vervolgens op installeren Als u klaar bent.

Het knooppunt wordt binnen een paar minuten opnieuw opgestart.

7

Nadat het knooppunt opnieuw is opgestart, meldt u zich opnieuw aan indien nodig en opent u de overzichts pagina om te controleren of ze allemaal in de groene status zijn.

De controle van de proxyverbinding test alleen een subdomein van webex.com. Als er problemen zijn met de verbinding, is een veelvoorkomend probleem dat sommige Cloud domeinen die worden vermeld in de installatie-instructies, worden geblokkeerd op de proxy.

Registreer het eerste knooppunt in het cluster

Met deze taak wordt het generieke knooppunt dat u hebt gemaakt in Hybrid Data Security VM instellengebruikt, wordt het knooppunt geregistreerd bij de Webex-cloud en wordt het omgezet in een Hybrid Data Security-knooppunt.

Wanneer u uw eerste knooppunt registreert, maakt u een cluster waaraan het knooppunt wordt toegewezen. Een cluster bevat één of meer knooppunten die zijn ingezet om redundantie te bieden.

Voordat u begint

  • Zodra u met de registratie van een knooppunt begint, moet u dit binnen 60 minuten voltooien. Anders moet u opnieuw beginnen.

  • Zorg ervoor dat alle pop-upblokkers in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Servicesin het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloud Services naar de kaart Hybride gegevensbeveiliging en klik op Instellen.

4

Klik op de geopende pagina op Een resource toevoegen.

5

Voer in het eerste veld van de kaart Knooppunt toevoegen een naam in voor het cluster waaraan u uw Hybrid Data Security-knooppunt wilt toewijzen.

Wij raden u aan een cluster een naam te geven die gebaseerd is op de geografische locatie van de knooppunten van het cluster. Voorbeelden: "San Francisco" of "New York" of "Dallas"

6

Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Toevoegen onderaan het scherm.

Dit IP-adres of FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein die u hebt gebruikt in De Hybrid Data Security VM instellen.

Er verschijnt een bericht met de melding dat u uw knooppunt kunt registreren bij Webex.
7

Klik op Ga naar knooppunt.

Na enkele ogenblikken wordt u doorgestuurd naar de knooppuntconnectiviteitstests voor Webex-services. Als alle tests succesvol zijn, wordt de pagina Toegang tot Hybrid Data Security Node toestaan weergegeven. Daar bevestigt u dat u uw Webex-organisatie toestemming wilt geven voor toegang tot uw knooppunt.

8

Vink het selectievakje Toegang tot uw hybride gegevensbeveiligingsknooppunt toestaan aan en klik vervolgens op Doorgaan.

Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
9

Klik op de link of sluit het tabblad om terug te gaan naar de Partner Hub Hybrid Data Security-pagina.

Op de pagina Hybride gegevensbeveiliging wordt het nieuwe cluster met het knooppunt dat u hebt geregistreerd, weergegeven onder het tabblad Bronnen. Het knooppunt downloadt automatisch de nieuwste software uit de cloud.

Meer knooppunten aanmaken en registreren

Om extra knooppunten aan uw cluster toe te voegen, maakt u eenvoudig extra VM's en koppelt u hetzelfde ISO-configuratiebestand. Vervolgens registreert u het knooppunt. Wij adviseren u om minimaal 3 knooppunten te hebben.

Voordat u begint

  • Zodra u met de registratie van een knooppunt begint, moet u dit binnen 60 minuten voltooien. Anders moet u opnieuw beginnen.

  • Zorg ervoor dat alle pop-upblokkers in uw browser zijn uitgeschakeld of dat u een uitzondering toestaat voor admin.webex.com.

1

Maak een nieuwe virtuele machine vanuit de OVA en herhaal de stappen in HDS Host OVA installeren.

2

Stel de eerste configuratie in op de nieuwe virtuele machine en herhaal de stappen in De Hybrid Data Security VM instellen.

3

Herhaal op de nieuwe VM de stappen in Upload en koppel de HDS-configuratie-ISO.

4

Als u een proxy voor uw implementatie instelt, herhaalt u de stappen in HDS-knooppunt configureren voor proxy-integratie indien nodig voor het nieuwe knooppunt.

5

Registreer het knooppunt.

  1. Selecteer in https://admin.webex.comServices in het menu aan de linkerkant van het scherm.

  2. Zoek in het gedeelte Cloud Services de kaart Hybride gegevensbeveiliging en klik op Alles weergeven.

    De pagina Hybride gegevensbeveiligingsbronnen wordt weergegeven.
  3. Het nieuw aangemaakte cluster verschijnt op de pagina Resources.

  4. Klik op het cluster om de knooppunten te bekijken die aan het cluster zijn toegewezen.

  5. Klik op Knooppunt toevoegen aan de rechterkant van het scherm.

  6. Voer het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Toevoegen.

    Er wordt een pagina geopend met een bericht dat aangeeft dat u uw knooppunt kunt registreren bij de Webex-cloud. Na enkele ogenblikken wordt u doorgestuurd naar de knooppuntconnectiviteitstests voor Webex-services. Als alle tests succesvol zijn, wordt de pagina Toegang tot Hybrid Data Security Node toestaan weergegeven. Daar bevestigt u dat u uw organisatie toestemming wilt geven om toegang te krijgen tot uw knooppunt.
  7. Vink het selectievakje Toegang tot uw hybride gegevensbeveiligingsknooppunt toestaan aan en klik vervolgens op Doorgaan.

    Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud.
  8. Klik op de link of sluit het tabblad om terug te gaan naar de Partner Hub Hybrid Data Security-pagina.

    Knooppunt toegevoegd pop-upbericht verschijnt ook onderaan het scherm in Partner Hub.

    Uw knooppunt is geregistreerd.

Beheer tenantorganisaties op Multi-Tenant Hybrid Data Security

Activeer Multi-Tenant HDS op Partner Hub

Met deze taak zorgen we ervoor dat alle gebruikers van de klantorganisaties HDS kunnen gebruiken voor on-premises-encryptiesleutels en andere beveiligingsdiensten.

Voordat u begint

Zorg ervoor dat u de configuratie van uw Multi-Tenant HDS-cluster met het vereiste aantal knooppunten hebt voltooid.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Servicesin het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloud Services naar Hybride gegevensbeveiliging en klik op Instellingen bewerken.

4

Klik op HDS activeren op de kaart HDS-status.

Tenantorganisaties toevoegen in Partner Hub

In deze taak wijst u klantorganisaties toe aan uw Hybrid Data Security Cluster.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Servicesin het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloud Services naar Hybride gegevensbeveiliging en klik op Alles weergeven.

4

Klik op het cluster waaraan u een klant wilt toewijzen.

5

Ga naar het tabblad Toegewezen klanten.

6

Klik op Klanten toevoegen.

7

Selecteer de klant die u wilt toevoegen uit het keuzemenu.

8

Klik op Toevoegen, de klant wordt toegevoegd aan het cluster.

9

Herhaal stap 6 tot en met 8 om meerdere klanten aan uw cluster toe te voegen.

10

Klik op Gereed onderaan het scherm nadat u de klanten hebt toegevoegd.

De volgende stappen

Voer de HDS-installatietool uit zoals beschreven in Maak klanthoofdsleutels (CMK's) met behulp van de HDS-installatietool om het installatieproces te voltooien.

Maak Customer Main Keys (CMK's) aan met behulp van de HDS-installatietool

Voordat u begint

Wijs klanten toe aan het juiste cluster zoals beschreven in Tenantorganisaties toevoegen in Partner Hub. Voer de HDS-installatietool uit om het installatieproces voor de nieuw toegevoegde klantorganisaties te voltooien.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces hebt u de inloggegevens van een Partner Hub-account nodig met volledige beheerdersrechten voor uw organisatie.

    Als de HDS-installatietool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxy-instellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5opstart. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy zonder verificatie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy met verificatie

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy met verificatie

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel waarmee de PostgreSQL- of Microsoft SQL Server-database wordt gecodeerd. U hebt de nieuwste versie van dit bestand nodig wanneer u wijzigingen in de configuratie aanbrengt, zoals deze:

    • Database-inloggegevens

    • Certificaatupdates

    • Wijzigingen in het autorisatiebeleid

  • Als u van plan bent databaseverbindingen te versleutelen, moet u uw PostgreSQL- of SQL Server-implementatie instellen voor TLS.

Tijdens het installatieproces van Hybrid Data Security wordt een ISO-bestand gemaakt. Vervolgens gebruikt u de ISO om uw Hybrid Data Security-host te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stable

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stable

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De installatietool ondersteunt geen verbinding met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Ga met een webbrowser naar de localhost, http://127.0.0.1:8080, en voer bij de prompt de beheerdersgebruikersnaam voor Partner Hub in.

De tool gebruikt de eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Vervolgens geeft de tool het standaard aanmeldscherm weer.

7

Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor Partner Hub-beheerder in en klikt u op Aanmelden om toegang te verlenen tot de vereiste services voor Hybrid Data Security.

8

Klik op de overzichtspagina van de installatietool op Aan de slag.

9

Klik op de pagina ISO Import op Ja.

10

Selecteer uw ISO-bestand in de browser en upload het.

Zorg voor connectiviteit met uw database om CMK-beheer uit te voeren.
11

Ga naar het tabblad Tenant CMK Management, waar u de volgende drie manieren vindt om Tenant CMK's te beheren.

  • CMK maken voor alle ORG's of CMK maken - Klik op deze knop op de banner bovenaan het scherm om CMK's te maken voor alle nieuw toegevoegde organisaties.
  • Klik op de knop CMK's beheren aan de rechterkant van het scherm en klik op CMK's maken om CMK's te maken voor alle nieuw toegevoegde organisaties.
  • Klik … naast de CMK-beheerstatus in behandeling van een specifieke organisatie in de tabel en klik op CMK maken om CMK voor die organisatie te maken.
12

Zodra CMK-creatie succesvol is, verandert de status in de tabel van CMK-beheer in behandeling naar CMK beheerd.

13

Als het aanmaken van CMK mislukt, wordt er een foutmelding weergegeven.

Tenantorganisaties verwijderen

Voordat u begint

Zodra HDS is verwijderd, kunnen gebruikers van klantorganisaties HDS niet meer gebruiken voor hun encryptiebehoeften en verliezen zij alle bestaande ruimtes. Neem contact op met uw Cisco-partner of accountmanager voordat u klantorganisaties verwijdert.

1

Meld u aan bij https://admin.webex.com.

2

Selecteer Servicesin het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloud Services naar Hybride gegevensbeveiliging en klik op Alles weergeven.

4

Klik op het tabblad Resources op het cluster waaruit u klantorganisaties wilt verwijderen.

5

Klik op de geopende pagina op Toegewezen klanten.

6

Klik in de weergegeven lijst met klantorganisaties op ... aan de rechterkant van de klantorganisatie die u wilt verwijderen en klik op Verwijderen uit cluster.

De volgende stappen

Voltooi het verwijderingsproces door de CMK's van de klantorganisaties in te trekken zoals beschreven in CMK's intrekken van tenants die uit HDS zijn verwijderd.

CMK's intrekken van huurders die uit HDS zijn verwijderd.

Voordat u begint

Verwijder klanten uit het juiste cluster zoals beschreven in Tenantorganisaties verwijderen. Voer de HDS-installatietool uit om het verwijderingsproces voor de verwijderde klantorganisaties te voltooien.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces hebt u de inloggegevens van een Partner Hub-account nodig met volledige beheerdersrechten voor uw organisatie.

    Als de HDS-installatietool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxy-instellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5opstart. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy zonder verificatie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy met verificatie

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy met verificatie

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel waarmee de PostgreSQL- of Microsoft SQL Server-database wordt gecodeerd. U hebt de nieuwste versie van dit bestand nodig wanneer u wijzigingen in de configuratie aanbrengt, zoals deze:

    • Database-inloggegevens

    • Certificaatupdates

    • Wijzigingen in het autorisatiebeleid

  • Als u van plan bent databaseverbindingen te versleutelen, moet u uw PostgreSQL- of SQL Server-implementatie instellen voor TLS.

Tijdens het installatieproces van Hybrid Data Security wordt een ISO-bestand gemaakt. Vervolgens gebruikt u de ISO om uw Hybrid Data Security-host te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

docker rmi ciscocitg/hds-setup:stable

In FedRAMP-omgevingen:

docker rmi ciscocitg/hds-setup-fedramp:stable

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

docker login -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

docker pull ciscocitg/hds-setup:stable

In FedRAMP-omgevingen:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

6

De installatietool ondersteunt geen verbinding met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

Ga met een webbrowser naar de localhost, http://127.0.0.1:8080, en voer bij de prompt de beheerdersgebruikersnaam voor Partner Hub in.

De tool gebruikt de eerste invoer van de gebruikersnaam om de juiste omgeving voor dat account in te stellen. Vervolgens geeft de tool het standaard aanmeldscherm weer.

7

Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor Partner Hub-beheerder in en klikt u op Aanmelden om toegang te verlenen tot de vereiste services voor Hybrid Data Security.

8

Klik op de overzichtspagina van de installatietool op Aan de slag.

9

Klik op de pagina ISO Import op Ja.

10

Selecteer uw ISO-bestand in de browser en upload het.

11

Ga naar het tabblad Tenant CMK Management, waar u de volgende drie manieren vindt om Tenant CMK's te beheren.

  • CMK intrekken voor alle ORG's of CMK intrekken - Klik op deze knop op de banner bovenaan het scherm om CMK's van alle verwijderde organisaties in te trekken.
  • Klik op de knop CMK's beheren aan de rechterkant van het scherm en klik op CMK's intrekken om de CMK's van alle verwijderde organisaties in te trekken.
  • Klik op naast de CMK-status van een specifieke organisatie in de tabel en klik op CMK intrekken om CMK voor die specifieke organisatie in te trekken.
12

Zodra de CMK-intrekking succesvol is, verschijnt de klantorganisatie niet meer in de tabel.

13

Als het intrekken van CMK niet lukt, wordt er een foutmelding weergegeven.

Test uw Hybrid Data Security-implementatie

Test uw hybride databeveiligingsimplementatie

Gebruik deze procedure om scenario's voor Multi-Tenant Hybrid Data Security-versleuteling te testen.

Voordat u begint

  • Stel uw Multi-Tenant Hybrid Data Security-implementatie in.

  • Zorg ervoor dat u toegang hebt tot het syslog zodat u kunt verifiëren of belangrijke aanvragen worden doorgegeven aan uw Multi-Tenant Hybrid Data Security-implementatie.

1

De sleutels voor een bepaalde ruimte worden bepaald door de maker van de ruimte. Meld u aan bij de Webex-app als een van de gebruikers van de klantorganisatie en maak vervolgens een ruimte.

Als u de Hybrid Data Security-implementatie deactiveert, is de inhoud in ruimtes die gebruikers maken niet langer toegankelijk zodra de in de clientcache opgeslagen kopieën van de encryptiesleutels zijn vervangen.

2

Stuur berichten naar de nieuwe ruimte.

3

Controleer de syslog-uitvoer om te verifiëren of de belangrijkste aanvragen worden doorgegeven aan uw Hybrid Data Security-implementatie.

Als een gebruiker van een nieuw toegevoegde klantorganisatie een actie uitvoert, wordt de Org-ID van de organisatie weergegeven in de logboeken. Hiermee kan worden geverifieerd of de organisatie gebruikmaakt van Multi-Tenant HDS. Controleer de waarde van kms.data.orgId in de syslogs.

  1. Om te controleren of een gebruiker eerst een beveiligd kanaal naar de KMS tot stand brengt, filtert u op kms.data.method=create en kms.data.type=EPHEMERAL_KEY_COLLECTION:

    U zou een item moeten vinden dat er ongeveer zo uitziet (de identificatiegegevens zijn afgekort voor een betere leesbaarheid):
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
    https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
    clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
     kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
    kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
     kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]
    
  2. Om te controleren of een gebruiker een bestaande sleutel aanvraagt bij de KMS, filtert u op kms.data.method=retrieve en kms.data.type=KEY:

    U zoekt naar een invoer die er als volgt uitziet:
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
     ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
     WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
     kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
     kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]
    
  3. Om te controleren of een gebruiker de aanmaak van een nieuwe KMS-sleutel aanvraagt, filtert u op kms.data.method=create en kms.data.type=KEY_COLLECTION:

    U zoekt naar een invoer die er als volgt uitziet:
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
     ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
     (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
    kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
    kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]
    
  4. Om te controleren of een gebruiker de aanmaak van een nieuw KMS Resource Object (KRO) aanvraagt wanneer een ruimte of andere beschermde resource wordt aangemaakt, filtert u op kms.data.method=create en kms.data.type=RESOURCE_COLLECTION:

    U zoekt naar een invoer die er als volgt uitziet:
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
    clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
     kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
    kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation  

Controleer de status van hybride gegevensbeveiliging

Een statusindicator in Partner Hub geeft aan of alles in orde is met de Multi-Tenant Hybrid Data Security-implementatie. Meld u aan voor e-mailmeldingen voor proactievere waarschuwingen. U wordt op de hoogte gesteld wanneer er alarmen zijn die gevolgen hebben voor de service of wanneer er software-upgrades zijn.
1

Selecteer in Partner Hubde optie Services in het menu aan de linkerkant van het scherm.

2

Zoek in het gedeelte Cloud Services naar Hybride gegevensbeveiliging en klik op Instellingen bewerken.

De pagina Instellingen voor hybride gegevensbeveiliging wordt weergegeven.
3

Typ in het gedeelte E-mailmeldingen een of meer e-mailadressen, gescheiden door komma's, en druk op Enter.

Beheer uw HDS-implementatie

HDS-implementatie beheren

Gebruik de hier beschreven taken om uw Hybrid Data Security-implementatie te beheren.

Clusterupgradeschema instellen

Software-upgrades voor Hybrid Data Security worden automatisch uitgevoerd op clusterniveau. Zo weet u zeker dat op alle knooppunten altijd dezelfde softwareversie wordt uitgevoerd. Upgrades worden uitgevoerd volgens het upgradeschema voor het cluster. Wanneer een software-upgrade beschikbaar is, hebt u de mogelijkheid om het cluster handmatig te upgraden vóór de geplande upgradetijd. U kunt een specifiek upgradeschema instellen of het standaardschema gebruiken 3:00 AM Daily Verenigde Staten: America/Los Engelen. U kunt er ook voor kiezen om een aankomende upgrade uit te stellen, indien nodig.

Om het upgradeschema in te stellen:

1

Meld u aan bij Partner Hub.

2

Selecteer Servicesin het menu aan de linkerkant van het scherm.

3

Zoek in het gedeelte Cloud Services naar Hybride gegevensbeveiliging en klik op Instellen

4

Selecteer het cluster op de pagina Hybride gegevensbeveiligingsbronnen.

5

Klik op het tabblad Clusterinstellingen.

6

Selecteer op de pagina Clusterinstellingen, onder Upgradeschema, de tijd en tijdzone voor het upgradeschema.

Opmerking: Onder de tijdzone worden de datum en tijd van de volgende beschikbare upgrade weergegeven. Indien nodig kunt u de upgrade uitstellen tot de volgende dag door op Uitstellen met 24 uurte klikken.

De knooppuntconfiguratie wijzigen

Soms moet u de configuratie van uw knooppunt voor hybride databeveiliging wijzigen vanwege een bijvoorbeeld:
  • X.509-certificaten wijzigen vanwege vervaldatum of andere redenen.

    We ondersteunen het wijzigen van de CN-domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om de cluster te registreren.

  • Database-instellingen bijwerken om te wijzigen in een kopie van de PostgreSQL- of Microsoft SQL Server-database.

    We ondersteunen het migreren van gegevens van PostgreSQL naar Microsoft SQL Server niet, of op de omgekeerde manier. Als u wilt schakelen tussen de databaseomgevingen, moet u een nieuwe implementatie van hybride databeveiliging starten.

  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

Bovendien gebruikt Hybride databeveiliging voor beveiligingsdoeleinden wachtwoorden voor serviceaccounts die een levensduur van negen maanden hebben. Nadat de HDS-setuptool deze wachtwoorden heeft gegenereerd, implementeert u deze in uw HDS-knooppunten in het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een melding van het Webex-team om het wachtwoord voor uw machineaccount opnieuw in te stellen. (Het e-mailbericht bevat de tekst: 'Gebruik het machineaccount API om het wachtwoord bij te werken.') Als uw wachtwoord nog niet is verlopen, geeft de tool u twee opties:

  • Zachte reset— Zowel de oude als de nieuwe wachtwoorden werken maximaal 10 dagen. Gebruik deze periode om het ISO-bestand op de knooppunten stapsgewijs te vervangen.

  • Harde reset—De oude wachtwoorden werken onmiddellijk niet meer.

Als uw wachtwoorden verlopen zonder opnieuw in te stellen, is dit van invloed op uw HDS-service, waarvoor onmiddellijke harde reset en vervanging van het ISO-bestand op alle knooppunten nodig is.

Gebruik deze procedure om een nieuw ISO-configuratiebestand te genereren en dit toe te passen op uw cluster.

Voordat u begint

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces hebt u de inloggegevens van een Partner Hub-account nodig met volledige partnerbeheerdersrechten.

    Als u geen Docker Desktop-licentie hebt, kunt u Podman Desktop gebruiken om de HDS-installatietool uit te voeren voor stap 1.a tot en met 1.e in de onderstaande procedure. Zie HDS-installatietool uitvoeren met Podman Desktop voor meer informatie.

    Als de HDS-installatietool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxy-instellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in 1.eopstart. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy zonder verificatie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy met verificatie

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy met verificatie

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel voor de versleuteling van PostgreSQL of Microsoft SQL Server-database. U hebt de ISO nodig wanneer u configuratiewijzigingen aan aanbrengen, waaronder databasereferenties, certificaatupdates of wijzigingen aan autorisatiebeleid.

1

Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

  1. Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

    In normale omgevingen:

    docker rmi ciscocitg/hds-setup:stable

    In FedRAMP-omgevingen:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

  2. Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

    docker login -u hdscustomersro
  3. Voer bij de wachtwoordprompt deze hash in:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Download de nieuwste stabiele afbeelding voor uw omgeving:

    In normale omgevingen:

    docker pull ciscocitg/hds-setup:stable

    In FedRAMP-omgevingen:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 hebben niet de schermen voor het opnieuw instellen van wachtwoorden.

  5. Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

    • In normale omgevingen zonder proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • In normale omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In normale omgevingen met HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In FedRAMP-omgevingen zonder een proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.

    De installatietool ondersteunt geen verbinding met localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met localhost.

  7. Voer wanneer u daarom wordt gevraagd uw Partner Hub-klantgegevens in en klik vervolgens op Accepteren om door te gaan.

  8. Importeer het huidige ISO-configuratiebestand.

  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

    Om het installatieprogramma af te sluiten, typt u CTRL+C.

  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

2

Als u slechts één HDS-knooppunt hebt datuitvoert, maakt u een nieuwe Hybrid Data Security-knooppunt-VM en registreert u deze met behulp van het nieuwe ISO-configuratiebestand. Voor meer gedetailleerde instructies, zie Meer knooppunten maken en registreren.

  1. Installeer de HDS-host-OVA.

  2. Stel de HDS-VM in.

  3. Koppel het bijgewerkte configuratiebestand.

  4. Registreer het nieuwe knooppunt in Partner Hub.

3

Voor bestaande HDS-knooppunten waar het oudere configuratiebestand op wordt uitgevoerd, moet u het ISO-bestand onder brengen. Voer de volgende procedure uit op elk knooppunt. Werk elk knooppunt bij voordat u het volgende knooppunt uit schakelen:

  1. Schakel de virtuele machine uit.

  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  3. Klik op CD/DVD Drive 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

  4. Schakel het selectievakje Verbinding maken na inschakelen in.

  5. Sla uw wijzigingen op en schakel de virtuele machine in.

4

Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.

Geblokkeerde externe DNS-omzettingsmodus uitschakelen

Wanneer u een knooppunt registreert of de proxyconfiguratie van het knooppunt controleert, controleert het proces de weergave van DNS en de verbinding met de Cisco Webex Cloud. Als de DNS-server van het knooppunt geen publieke DNS-namen kan omzetten, wordt het knooppunt automatisch in de geblokkeerde externe DNS-omzettingsmodus geplaatst.

Als uw knooppunten publieke DNS-namen kunnen omzetten via interne DNS-servers, kunt u deze modus uitschakelen door de proxy verbindingstest opnieuw uit te voeren op elk knooppunt.

Voordat u begint

Zorg ervoor dat uw interne DNS-servers publieke DNS-namen kunnen omzetten en dat uw knooppunten met hen kunnen communiceren.
1

Open in een webbrowser de interface van het Hybrid Data Security-knooppunt (IP address/setup, Voer bijvoorbeeld https://192.0.2.0/setup), de beheerdersreferenties in die u voor het knooppunt hebt ingesteld en klik vervolgens op Aanmelden.

2

Ga naar overzicht (de standaardpagina).

Indien ingeschakeld, wordt de geblokkeerde externe DNS-omzetting ingesteld op Ja.

3

Ga naar de pagina vertrouwde winkel >-proxy .

4

Klik op proxy verbinding controleren.

Als er een bericht wordt weergegeven met de melding dat de externe DNS-omzetting niet is geslaagd, is het knooppunt niet in staat om de DNS-server te bereiken en blijft deze in deze modus. Anders moet de geblokkeerde externe DNS-omzetting worden ingesteld op Nee als u het knooppunt opnieuw hebt opgestart en teruggaat naar de overzichtspagina.

De volgende stappen

Herhaal de proxy verbindingstest op elk knooppunt in uw cluster voor hybride data beveiliging.

Een knooppunt verwijderen

Gebruik deze procedure om een Hybrid Data Security-knooppunt uit de Webex-cloud te verwijderen. Nadat u het knooppunt uit het cluster hebt verwijderd, verwijdert u ook de virtuele machine om verdere toegang tot uw beveiligingsgegevens te voorkomen.
1

Meld u aan bij de virtuele ESXi-host via de VMware vSphere-client op uw computer en schakel de virtuele machine uit.

2

Verwijder het knooppunt:

  1. Meld u aan bij Partner Hub en selecteer vervolgens Services.

  2. Klik op de kaart Hybride gegevensbeveiliging op Alles weergeven om de pagina Hybride gegevensbeveiligingsbronnen weer te geven.

  3. Selecteer uw cluster om het overzichtspaneel weer te geven.

  4. Klik op het knooppunt dat u wilt verwijderen.

  5. Klik op Deregistreer dit knooppunt op het paneel dat aan de rechterkant verschijnt

  6. U kunt het knooppunt ook afmelden door op … aan de rechterkant van het knooppunt te klikken en Dit knooppunt verwijderente selecteren.

3

Verwijder de VM in de vSphere-client. (Klik in het linkernavigatievenster met de rechtermuisknop op de VM en klik op Verwijderen.)

Als u de virtuele machine niet verwijdert, vergeet dan niet het ISO-configuratiebestand te ontkoppelen. Zonder het ISO-bestand kunt u de VM niet gebruiken om toegang te krijgen tot uw beveiligingsgegevens.

Herstel na een ramp met behulp van een standby-datacenter

De belangrijkste service die uw Hybrid Data Security-cluster biedt, is het maken en opslaan van sleutels die worden gebruikt om berichten en andere inhoud die in de Webex-cloud is opgeslagen, te versleutelen. Voor elke gebruiker binnen de organisatie die is toegewezen aan Hybrid Data Security, worden aanvragen voor het maken van nieuwe sleutels naar het cluster doorgestuurd. Het cluster is ook verantwoordelijk voor het retourneren van de sleutels die het heeft gemaakt aan alle gebruikers die gemachtigd zijn om ze op te halen, bijvoorbeeld leden van een gespreksruimte.

Omdat het cluster de cruciale functie vervult van het leveren van deze sleutels, is het van groot belang dat het cluster actief blijft en dat er goede back-ups worden gemaakt. Verlies van de Hybrid Data Security-database of van de configuratie-ISO die voor het schema wordt gebruikt, resulteert in ONHERSTELBAAR VERLIES van klantinhoud. Om dergelijk verlies te voorkomen, zijn de volgende maatregelen verplicht:

Als een ramp ervoor zorgt dat de HDS-implementatie in het primaire datacenter niet meer beschikbaar is, volgt u deze procedure om handmatig een failover uit te voeren naar het standby-datacenter.

Voordat u begint

Verwijder alle knooppunten uit Partner Hub zoals vermeld in Een knooppunt verwijderen. Gebruik het laatste ISO-bestand dat is geconfigureerd voor de knooppunten van het cluster dat eerder actief was, om de hieronder genoemde failoverprocedure uit te voeren.
1

Start de HDS-installatietool en volg de stappen die worden genoemd in Een configuratie-ISO voor de HDS-hosts maken.

2

Voltooi het configuratieproces en sla het ISO-bestand op een locatie op die u gemakkelijk kunt vinden.

3

Maak een back-up van het ISO-bestand op uw lokale systeem. Bewaar de reservekopie op een veilige plaats. Dit bestand bevat een hoofdencryptiesleutel voor de inhoud van de database. Beperk de toegang tot alleen die Hybrid Data Security-beheerders die configuratiewijzigingen mogen aanbrengen.

4

Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

5

Klik op Instellingen bewerken >CD/DVD Schijf 1 en selecteer Datastore ISO-bestand.

Zorg ervoor dat Verbonden en Verbinden bij inschakelen zijn aangevinkt, zodat de bijgewerkte configuratiewijzigingen van kracht worden nadat de knooppunten zijn gestart.

6

Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 15 minuten geen alarmen zijn geweest.

7

Registreer het knooppunt in Partner Hub. Verwijs naar Registreer het eerste knooppunt in het cluster.

8

Herhaal het proces voor elk knooppunt in het standby datacenter.

De volgende stappen

Als het primaire datacenter na de failover weer actief wordt, moet u de knooppunten van het standby-datacenter afmelden en het proces van het configureren van de ISO en het registreren van de knooppunten van het primaire datacenter herhalen, zoals hierboven beschreven.

(Optioneel) ISO ontkoppelen na HDS-configuratie

De standaard HDS-configuratie draait met de ISO gemonteerd. Sommige klanten geven er echter de voorkeur aan om ISO-bestanden niet voortdurend gekoppeld te laten. U kunt het ISO-bestand ontkoppelen nadat alle HDS-knooppunten de nieuwe configuratie hebben opgehaald.

U gebruikt nog steeds de ISO-bestanden om configuratiewijzigingen door te voeren. Wanneer u een nieuwe ISO maakt of een ISO bijwerkt via de installatietool, moet u de bijgewerkte ISO op al uw HDS-knooppunten koppelen. Zodra alle knooppunten de configuratiewijzigingen hebben herkend, kunt u de ISO met deze procedure weer ontkoppelen.

Voordat u begint

Upgrade al uw HDS-knooppunten naar versie 2021.01.22.4720 of hoger.

1

Schakel één van uw HDS-knooppunten uit.

2

Selecteer in het vCenter Server-apparaat het HDS-knooppunt.

3

Kies Instellingen bewerken > CD/DVD station en deselecteer Datastore ISO-bestand.

4

Schakel het HDS-knooppunt in en zorg ervoor dat er gedurende ten minste 20 minuten geen alarmen zijn geweest.

5

Herhaal dit voor elk HDS-knooppunt.

Problemen met hybride gegevensbeveiliging oplossen

Bekijk waarschuwingen en los problemen op

Een Hybrid Data Security-implementatie wordt als niet beschikbaar beschouwd als geen enkel knooppunt in het cluster bereikbaar is of als het cluster zo langzaam werkt dat er een time-out optreedt bij aanvragen. Als gebruikers uw Hybrid Data Security-cluster niet kunnen bereiken, ervaren zij de volgende symptomen:

  • Er kunnen geen nieuwe ruimtes worden aangemaakt (er kunnen geen nieuwe sleutels worden aangemaakt)

  • Berichten en ruimtetitels kunnen niet worden ontsleuteld voor:

    • Nieuwe gebruikers toegevoegd aan een ruimte (kan geen sleutels ophalen)

    • Bestaande gebruikers in een ruimte die een nieuwe client gebruiken (kan geen sleutels ophalen)

  • Bestaande gebruikers in een ruimte blijven succesvol functioneren zolang hun clients een cache van de encryptiesleutels hebben

Het is belangrijk dat u uw Hybrid Data Security-cluster goed bewaakt en snel op waarschuwingen reageert om verstoring van de service te voorkomen.

Waarschuwingen

Als er een probleem is met de configuratie van Hybrid Data Security, geeft Partner Hub waarschuwingen weer aan de beheerder van de organisatie en worden e-mails verzonden naar het geconfigureerde e-mailadres. De waarschuwingen hebben betrekking op veelvoorkomende scenario's.

Tabel 1. Veelvoorkomende problemen en de stappen om ze op te lossen

Waarschuwen

Actie

Lokale databasetoegang mislukt.

Controleer op databasefouten of lokale netwerkproblemen.

Fout bij verbinding met lokale database.

Controleer of de databaseserver beschikbaar is en of de juiste serviceaccountreferenties zijn gebruikt in de knooppuntconfiguratie.

Er is een fout opgetreden bij de toegang tot de cloudservice.

Controleer of de knooppunten toegang hebben tot de Webex-servers zoals gespecificeerd in Vereisten voor externe connectiviteit.

Verlenging van de registratie voor clouddiensten.

Registratie voor cloudservices is beëindigd. De verlenging van de registratie is bezig.

Registratie voor clouddienst is stopgezet.

Registratie voor cloudservices beëindigd. De dienst wordt stopgezet.

Service nog niet geactiveerd.

Activeer HDS in Partner Hub.

Het geconfigureerde domein komt niet overeen met het servercertificaat.

Zorg ervoor dat uw servercertificaat overeenkomt met het geconfigureerde serviceactiveringsdomein.

De meest waarschijnlijke oorzaak is dat het CN-nummer van het certificaat onlangs is gewijzigd en nu verschilt van het CN-nummer dat tijdens de eerste installatie is gebruikt.

Authenticatie bij cloudservices mislukt.

Controleer of de inloggegevens voor het serviceaccount juist zijn en of deze mogelijk verlopen zijn.

Het openen van het lokale sleutelbestand is mislukt.

Controleer de integriteit en nauwkeurigheid van het wachtwoord in het lokale sleutelbestand.

Het lokale servercertificaat is ongeldig.

Controleer de vervaldatum van het servercertificaat en ga na of het is uitgegeven door een vertrouwde certificeringsinstantie.

Kan geen statistieken posten.

Controleer de lokale netwerktoegang tot externe cloudservices.

/media/configdrive/hds map bestaat niet.

Controleer de ISO-koppelingsconfiguratie op de virtuele host. Controleer of het ISO-bestand bestaat, of het zo is geconfigureerd dat het bij opnieuw opstarten wordt gemount en of het mounten succesvol verloopt.

De Tenant Org Setup is niet voltooid voor de toegevoegde organisaties

Voltooi de installatie door CMK's te maken voor nieuw toegevoegde tenantorganisaties met behulp van de HDS Setup Tool.

De Tenant Org Setup is niet voltooid voor de verwijderde organisaties

Voltooi de installatie door de CMK's van tenantorganisaties in te trekken die met de HDS Setup Tool zijn verwijderd.

Problemen met hybride gegevensbeveiliging oplossen

Gebruik de volgende algemene richtlijnen bij het oplossen van problemen met Hybrid Data Security.
1

Controleer de Partner Hub op eventuele waarschuwingen en los eventuele problemen op. Zie de afbeelding hieronder ter referentie.

2

Controleer de uitvoer van de syslogserver op activiteit van de Hybrid Data Security-implementatie. Filter op woorden als 'Waarschuwing' en 'Fout' om u te helpen bij het oplossen van problemen.

3

Neem contact op met Cisco-ondersteuning.

Overige opmerkingen

Bekende problemen met hybride gegevensbeveiliging

  • Als u uw Hybrid Data Security-cluster uitschakelt (door het te verwijderen in Partner Hub of door alle knooppunten uit te schakelen), uw ISO-configuratiebestand kwijtraakt of toegang verliest tot de keystore-database, kunnen Webex-appgebruikers van klantorganisaties geen spaties meer gebruiken onder hun lijst met personen die zijn gemaakt met sleutels van uw KMS. Momenteel hebben we geen tijdelijke oplossing of oplossing voor dit probleem en we dringen er bij u op aan uw HDS-services niet af te sluiten zodra deze actieve gebruikersaccounts verwerken.

  • Een client die een bestaande ECDH-verbinding met een KMS heeft, behoudt die verbinding gedurende een bepaalde tijd (meestal een uur).

Voer de HDS-installatietool uit met Podman Desktop

Podman is een gratis en open source containerbeheertool waarmee u containers kunt uitvoeren, beheren en maken. Podman Desktop kan worden gedownload van https://podman-desktop.io/downloads.

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Om toegang te krijgen, moet u Podman downloaden en uitvoeren op die machine. Voor het installatieproces zijn de aanmeldgegevens van een Control Hub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-installatietool achter een proxy in uw omgeving wordt uitgevoerd, geeft u de proxy-instellingen (server, poort, referenties) op via Docker-omgevingsvariabelen wanneer u de Docker-container in stap 5 opstart. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy zonder verificatie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy met verificatie

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy met verificatie

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Het ISO-configuratiebestand dat u genereert, bevat de hoofdsleutel waarmee de PostgreSQL- of Microsoft SQL Server-database wordt gecodeerd. U hebt de nieuwste versie van dit bestand nodig wanneer u wijzigingen in de configuratie aanbrengt, zoals deze:

    • Database-inloggegevens

    • Certificaatupdates

    • Wijzigingen in het autorisatiebeleid

  • Als u van plan bent databaseverbindingen te versleutelen, moet u uw PostgreSQL- of SQL Server-implementatie instellen voor TLS.

Tijdens het installatieproces van Hybrid Data Security wordt een ISO-bestand gemaakt. Vervolgens gebruikt u de ISO om uw Hybrid Data Security-host te configureren.

1

Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

In normale omgevingen:

podman rmi ciscocitg/hds-setup:stable  

In FedRAMP-omgevingen:

podman rmi ciscocitg/hds-setup-fedramp:stable

Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

2

Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

podman login docker.io -u hdscustomersro
3

Voer bij de wachtwoordprompt deze hash in:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Download de nieuwste stabiele afbeelding voor uw omgeving:

In normale omgevingen:

podman pull ciscocitg/hds-setup:stable

In FedRAMP-omgevingen:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

  • In normale omgevingen zonder proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTP-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In normale omgevingen met een HTTPS-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
  • In FedRAMP-omgevingen zonder een proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTP-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
  • In FedRAMP-omgevingen met een HTTPS-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

De volgende stappen

Volg de resterende stappen in Een configuratie-ISO voor de HDS-hosts maken of De knooppuntconfiguratie wijzigen om een ISO-configuratie te maken of te wijzigen.

Verplaats de bestaande single-tenant HDS-implementatie van een partnerorganisatie in Control Hub naar een Multi-Tenant HDS-configuratie in Partner Hub

De conversie van een bestaande single-tenant HDS-implementatie van een partnerorganisatie die wordt beheerd in Control Hub naar een Multi-Tenant HDS-implementatie die wordt beheerd in Partner Hub, omvat voornamelijk het deactiveren van de HDS-service in Control Hub, het uitschrijven van knooppunten en het verwijderen van het cluster. Vervolgens kunt u inloggen op Partner Hub, de knooppunten registreren, Multi-Tenant HDS activeren en klanten aan uw cluster toevoegen.

De term 'single-tenant' verwijst eenvoudigweg naar een bestaande HDS-implementatie in Control Hub.

HDS deactiveren, knooppunten deregistreren en cluster verwijderen in Control Hub

1

Meld u aan bij Control Hub. Klik in het linkerdeelvenster op Hybride. Klik op de kaart Hybride gegevensbeveiliging op Instellingen bewerken.

2

Blader op de instellingenpagina naar beneden naar het gedeelte Deactiveren en klik op Deactiveren.

3

Klik na deactivering op het tabblad Bronnen.

4

Op de pagina Resources worden de clusters in uw HDS-implementatie weergegeven. Als u op een cluster klikt, wordt er een pagina geopend met alle knooppunten onder dat cluster.

5

Klik op ... aan de rechterkant en klik op Knooppunt deregistreren. Herhaal het proces voor alle knooppunten in het cluster.

6

Als uw implementatie meerdere clusters heeft, herhaalt u stap 4 en 5 totdat alle knooppunten zijn afgemeld.

7

Klik op Clusterinstellingen > Verwijderen.

8

Klik op Verwijderen bevestigen om de registratie van het cluster ongedaan te maken.

9

Herhaal het proces voor alle clusters in uw HDS-implementatie.

Na het deactiveren van HDS, het afmelden van knooppunten en het verwijderen van clusters, wordt onderaan de Hybrid Data Service-kaart op Control Hub Installatie niet voltooid weergegeven.

Activeer Multi-Tenant HDS voor de partnerorganisatie op Partner Hub en voeg klanten toe

Voordat u begint

Alle vereisten die in Vereisten voor hybride gegevensbeveiliging voor meerdere tenants worden genoemd, zijn hier van toepassing. Zorg er bovendien voor dat dezelfde database en certificaten worden gebruikt tijdens de verplaatsing naar Multi-Tenant HDS.

1

Meld u aan bij Partner Hub. Klik op Services in het linkerdeelvenster.

Gebruik dezelfde ISO van uw vorige HDS-implementatie om de knooppunten te configureren. Hiermee wordt gegarandeerd dat berichten en inhoud die door de gebruikers in de vorige HDS-implementatie zijn gegenereerd, nog steeds toegankelijk zijn in de nieuwe Multi-Tenant-configuratie.

2

Zoek in het gedeelte Cloud Services naar de kaart Hybride gegevensbeveiliging en klik op Instellen.

3

Klik op de geopende pagina op Een resource toevoegen.

4

Voer in het eerste veld van de kaart Knooppunt toevoegen een naam in voor het cluster waaraan u uw Hybrid Data Security-knooppunt wilt toewijzen.

Wij raden u aan een cluster een naam te geven die gebaseerd is op de geografische locatie van de knooppunten van het cluster. Voorbeelden: "San Francisco" of "New York" of "Dallas"

5

Voer in het tweede veld het interne IP-adres of de volledig gekwalificeerde domeinnaam (FQDN) van uw knooppunt in en klik op Toevoegen onderaan het scherm.

Dit IP-adres of FQDN moet overeenkomen met het IP-adres of de hostnaam en het domein die u hebt gebruikt in De Hybrid Data Security VM instellen.

Er verschijnt een bericht met de melding dat u uw knooppunt kunt registreren bij Webex.
6

Klik op Ga naar knooppunt.

Na enkele ogenblikken wordt u doorgestuurd naar de knooppuntconnectiviteitstests voor Webex-services. Als alle tests succesvol zijn, wordt de pagina Toegang tot Hybrid Data Security Node toestaan weergegeven. Daar bevestigt u dat u uw Webex-organisatie toestemming wilt geven voor toegang tot uw knooppunt.

7

Vink het selectievakje Toegang tot uw hybride gegevensbeveiligingsknooppunt toestaan aan en klik vervolgens op Doorgaan.

Uw account is gevalideerd en het bericht 'Registratie voltooid' geeft aan dat uw knooppunt nu is geregistreerd in de Webex-cloud. Op de pagina Hybride gegevensbeveiliging wordt het nieuwe cluster met het knooppunt dat u hebt geregistreerd, weergegeven onder het tabblad Bronnen. Het knooppunt downloadt automatisch de nieuwste software uit de cloud.
8

Ga naar het tabblad Instellingen en klik op Activeren op de HDS-statuskaart.

Geactiveerde HDS bericht verschijnt onderaan het scherm.
9

Klik in de Resoucesop het nieuw aangemaakte cluster.

10

Klik op de geopende pagina op het tabblad Toegewezen klanten.

11

Klik op Klanten toevoegen.

12

Selecteer de klant die u wilt toevoegen uit het keuzemenu.

13

Klik op Toevoegen, de klant wordt toegevoegd aan het cluster.

14

Herhaal stappen 11 tot en met 13 om meerdere klanten aan uw cluster toe te voegen.

15

Klik op Gereed onderaan het scherm nadat u de klanten hebt toegevoegd.

De volgende stappen

Voer de HDS-installatietool uit zoals beschreven in Maak klanthoofdsleutels (CMK's) met behulp van de HDS-installatietool om het installatieproces te voltooien.

Gebruik OpenSSL om een PKCS12-bestand te genereren

Voordat u begint

  • OpenSSL is een hulpmiddel waarmee u het PKCS12-bestand in het juiste formaat kunt zetten zodat het geladen kan worden in de HDS Setup Tool. Er zijn ook andere manieren om dit te doen, en wij ondersteunen of promoten niet de ene manier boven de andere.

  • Als u ervoor kiest om OpenSSL te gebruiken, bieden we deze procedure aan als richtlijn om u te helpen een bestand te maken dat voldoet aan de X.509-certificaatvereisten in X.509-certificaatvereisten. Zorg dat u deze vereisten begrijpt voordat u verdergaat.

  • Installeer OpenSSL in een ondersteunde omgeving. Zie https://www.openssl.org voor de software en documentatie.

  • Maak een persoonlijke sleutel.

  • Start deze procedure wanneer u het servercertificaat van uw certificeringsinstantie (CA) ontvangt.

1

Wanneer u het servercertificaat van uw CA ontvangt, slaat u het op als hdsnode.pem.

2

Geef het certificaat weer als tekst en controleer de details.

openssl x509 -text -noout -in hdsnode.pem

3

Gebruik een teksteditor om een certificaatbundelbestand te maken met de naam hdsnode-bundle.pem. Het bundelbestand moet het servercertificaat, eventuele tussenliggende CA-certificaten en de root-CA-certificaten bevatten, in de onderstaande indeling:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Maak het . p12-bestand met de gebruiksvriendelijke naam kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Controleer de details van het servercertificaat.

  1. openssl pkcs12 -in hdsnode.p12

  2. Voer bij de prompt een wachtwoord in om de persoonlijke sleutel te versleutelen, zodat deze in de uitvoer wordt weergegeven. Controleer vervolgens of de persoonlijke sleutel en het eerste certificaat de regels friendlyName: kms-private-keybevatten.

    Voorbeeld:

    bash$ openssl pkcs12 -in hdsnode.p12
    Enter Import Password:
    MAC verified OK
    Bag Attributes
        friendlyName: kms-private-key
        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
    Key Attributes: 
    Enter PEM pass phrase:
    Verifying - Enter PEM pass phrase:
    -----BEGIN ENCRYPTED PRIVATE KEY-----
    
    -----END ENCRYPTED PRIVATE KEY-----
    Bag Attributes
        friendlyName: kms-private-key
        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
    subject=/CN=hds1.org6.portun.us
    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
    -----BEGIN CERTIFICATE-----
    
    -----END CERTIFICATE-----
    Bag Attributes
        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
    -----BEGIN CERTIFICATE-----
    
    -----END CERTIFICATE-----

De volgende stappen

Terug naar Voltooi de vereisten voor hybride gegevensbeveiliging. U gebruikt het hdsnode.p12 bestand en het wachtwoord dat u ervoor hebt ingesteld in Een configuratie-ISO voor de HDS-hosts maken.

U kunt deze bestanden opnieuw gebruiken om een nieuw certificaat aan te vragen wanneer het oorspronkelijke certificaat verloopt.

Verkeer tussen de HDS-knooppunten en de cloud

Verkeer voor het verzamelen van uitgaande statistieken

De Hybrid Data Security-knooppunten sturen bepaalde statistieken naar de Webex-cloud. Hieronder vallen systeemstatistieken voor de maximale heap, gebruikte heap, CPU-belasting en het aantal threads; statistieken over synchrone en asynchrone threads; statistieken over waarschuwingen met betrekking tot een drempelwaarde voor versleutelde verbindingen, latentie of de lengte van een aanvraagwachtrij; statistieken over de gegevensopslag; en statistieken over versleutelde verbindingen. De knooppunten versturen gecodeerd sleutelmateriaal via een out-of-band kanaal (los van het verzoek).

Inkomend verkeer

De Hybrid Data Security-knooppunten ontvangen de volgende typen binnenkomend verkeer van de Webex-cloud:

  • Versleutelingsverzoeken van cliënten, die door de versleutelingsservice worden gerouteerd

  • Upgrades naar de knooppuntsoftware

Het configureren van inktvis-Proxy's voor hybride data beveiliging

WebSocket kan geen verbinding maken via de inktvis-proxy

Squid-proxy's die HTTPS-verkeer inspecteren, kunnen de totstandkoming van websocket (wss:)-verbindingen verstoren die Hybrid Data Security nodig heeft. In deze secties vindt u richtlijnen voor het configureren van verschillende versies van Squid om wss: verkeer te negeren voor een goede werking van de services.

Pijlinktvis 4 en 5

Voeg de on_unsupported_protocol -richtlijn toe aan squid.conf:

on_unsupported_protocol tunnel all

Inktvis 3.5.27

We hebben Hybrid Data Security met succes getest door de volgende regels toe te voegen aan squid.conf. Deze regels kunnen worden gewijzigd wanneer we functies ontwikkelen en de Webex Cloud bijwerken.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Vond u dit artikel nuttig?
Vond u dit artikel nuttig?