- Hjem
- /
- Artikkel
Ny og endret informasjon
Dato | Endringer gjort | ||
---|---|---|---|
20. oktober 2023 |
| ||
7. august 2023 |
| ||
23. mai 2023 |
| ||
6. desember 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop må kjøre et installasjonsprogram før du kan installere HDS-noder. Se Krav til Docker-skrivebord . | ||
24. juni 2021 | Merk at du kan bruke den private nøkkelfilen og CSR-en på nytt for å be om et annet sertifikat. Se Bruk OpenSSL til å generere en PKCS12-fil for detaljer. | ||
30. april 2021 | Endret VM-kravet for lokal harddiskplass til 30 GB. Se Krav til virtuell vert for detaljer. | ||
24. februar 2021 | HDS-installasjonsverktøyet kan nå kjøres bak en proxy. Se Opprett en konfigurasjons-ISO for HDS-vertene for detaljer. | ||
2. februar 2021 | HDS kan nå kjøres uten en montert ISO-fil. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer. | ||
11. januar 2021 | Lagt til informasjon om HDS-oppsettverktøy og proxyer til Opprett en konfigurasjons-ISO for HDS-vertene . | ||
13. oktober 2020 | Oppdatert Last ned installasjonsfiler . | ||
8. oktober 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med kommandoer for FedRAMP-miljøer. | ||
14. august 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med endringer i påloggingsprosessen. | ||
5. august 2020 | Oppdatert Test hybriddistribusjonen av datasikkerhet for endringer i loggmeldinger. Oppdatert Krav til virtuell vert for å fjerne maksimalt antall verter. | ||
16. juni 2020 | Oppdatert Fjerne en node for endringer i Control Hub-grensesnittet. | ||
4. juni 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for endringer i de avanserte innstillingene du måtte angi. | ||
29. mai 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for å vise at du også kan bruke TLS med SQL Server-databaser, brukergrensesnittendringer og andre presiseringer. | ||
5. mai 2020 | Oppdatert Krav til virtuell vert for å vise nye krav til ESXi 6.5. | ||
21. april 2020 | Oppdatert Krav til ekstern tilkobling med nye Americas CI-verter. | ||
1. april 2020 | Oppdatert Krav til ekstern tilkobling med informasjon om regionale CI-verter. | ||
20. februar 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med informasjon om det nye, valgfrie skjermbildet for avanserte innstillinger i HDS-oppsettverktøyet. | ||
4. februar 2020 | Oppdatert Krav til proxy-server . | ||
16. desember 2019 | Klargjorde kravet om at blokkert ekstern DNS-oppløsningsmodus skal fungere i Krav til proxy-server . | ||
19. november 2019 | La til informasjon om blokkert ekstern DNS-oppløsningsmodus i følgende deler: | ||
8. november 2019 | Du kan nå konfigurere nettverksinnstillinger for en node mens du distribuerer OVA i stedet for etterpå. Oppdaterte følgende deler tilsvarende:
| ||
6. september 2019 | Lagt til SQL Server Standard i Krav til databaseserver . | ||
29. august 2019 | Lagt til Konfigurer Squid-proxyer for hybrid datasikkerhet vedlegg med veiledning om konfigurering av Squid-proxyer til å ignorere websocket-trafikk for riktig drift. | ||
20. august 2019 | Lagt til og oppdaterte deler for å dekke proxy-støtte for hybrid datasikkerhetsnodekommunikasjon til Webex-skyen. Hvis du bare vil ha tilgang til proxy-støtteinnholdet for en eksisterende distribusjon, kan du se Proxy-støtte for hybrid datasikkerhet og Webex-videonett hjelpeartikkel. | ||
13. juni 2019 | Oppdatert Oppgaveflyt fra prøveversjon til produksjon med en påminnelse om å synkronisere HdsTrialGroup gruppeobjekt før du starter en prøveversjon hvis organisasjonen bruker katalogsynkronisering. | ||
6. mars 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. mai 2018 | Endret terminologi for å gjenspeile endringen av varemerke for Cisco Spark:
| ||
11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
2. november 2017 |
| ||
18. august 2017 | Først publisert |
Oversikt over hybrid datasikkerhet
Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er ende-til-ende-kryptering av innhold, aktivert av Webex App-klienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografinøklene som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.
Som standard får alle Webex App-kunder ende-til-ende-kryptering med dynamiske nøkler lagret i KMS-skyen, i Ciscos sikkerhetsområde. Hybrid datasikkerhet flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, slik at ingen andre enn deg har nøklene til ditt krypterte innhold.
Arkitektur for sikkerhetsriket
Webex-skyarkitekturen skiller forskjellige typer tjenester i separate områder, eller klareringsdomener, som vist nedenfor.
For å forstå Hybrid Data Security ytterligere, la oss først se på dette rene skysaken, der Cisco leverer alle funksjoner i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan korreleres direkte med personlig informasjon, for eksempel e-postadresse, er logisk og fysisk atskilt fra sikkerhetsområdet i datasenter B. Begge er igjen atskilt fra området der kryptert innhold til slutt lagres , i datasenter C.
I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og som er autentisert med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:
Klienten oppretter en sikker tilkobling med nøkkelbehandlingstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikker tilkobling bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en AES-256-hovednøkkel.
Meldingen krypteres før den forlater klienten. Klienten sender den til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe til med fremtidige søk etter innholdet.
Den krypterte meldingen sendes til samsvarstjenesten for samsvarskontroll.
Den krypterte meldingen lagres i lagringsområdet.
Når du distribuerer Hybrid Data Security, flytter du sikkerhetsområdets funksjoner (KMS, indeksering og samsvar) til det lokale datasenter. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos riker.
Samarbeide med andre organisasjoner
Brukere i organisasjonen din kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen (fordi det ble opprettet av en av brukerne), sender KMS-en nøkkelen til klienten over en ECDH-sikker kanal. Når en annen organisasjon eier nøkkelen for området, ruter KMS-en imidlertid forespørselen ut til Webex-skyen gjennom en egen ECDH-kanal for å hente nøkkelen fra riktig KMS, og returnerer deretter nøkkelen til brukeren på den opprinnelige kanalen.
KMS-tjenesten som kjøres på organisasjon A, validerer tilkoblingene til KMS-er i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet ditt for detaljer om generering av et x.509-sertifikat som skal brukes med Hybrid Data Security-distribusjonen.
Forventninger for distribusjon av hybrid datasikkerhet
En Hybrid Data Security-distribusjon krever betydelig kundeengasjement og en bevissthet om risikoene som følger med å eie krypteringsnøkler.
Hvis du vil distribuere Hybrid Data Security, må du oppgi:
Et sikkert datasenter i et land som er et støttet plassering for Cisco Webex Teams planene .
Utstyret, programvaren og nettverkstilgangen som er beskrevet i Forbered miljøet ditt .
Fullstendig tap av enten konfigurasjons-ISO-en du bygger for Hybrid Data Security eller databasen du oppgir, vil føre til tap av nøklene. Tap av nøkkel forhindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:
Behandle sikkerhetskopieringen og gjenopprettingen av databasen og konfigurasjonen av ISO.
Vær forberedt på å utføre rask gjenoppretting ved katastrofegjenoppretting hvis det oppstår en katastrofe, for eksempel en databasediskfeil eller en datasenter .
Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon. |
Konfigurasjonsprosess på høyt nivå
Dette dokumentet dekker oppsett og administrasjon av en Hybrid Data Security-distribusjon:
Konfigurer Hybrid Data Security – Dette inkluderer klargjøring av nødvendig infrastruktur og installasjon av Hybrid Data Security-programvare, testing av distribusjonen med et undersett av brukere i prøveversjonsmodus, og, når testingen er fullført, overgang til produksjon. Dette konverterer hele organisasjonen til å bruke Hybrid Data Security-klyngen for sikkerhetsfunksjoner.
Oppsett-, prøve- og produksjonsfasene dekkes i detalj i de neste tre kapitlene.
Vedlikeholde Hybrid Data Security-distribusjonen – Webex-skyen gir automatisk løpende oppgraderinger. IT-avdelingen din kan tilby nivå 1-støtte for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke skjermvarsler og konfigurere e-postbaserte varsler i Control Hub.
Forstå vanlige varsler, feilsøkingstrinn og kjente problemer –Hvis du får problemer med å distribuere eller bruke Hybrid Data Security, kan det siste kapitlet i denne veiledningen og tillegget Kjente problemer hjelpe deg med å finne ut og løse problemet.
Hybrid distribusjonsmodell for datasikkerhet
I foretningsdata distribuerer du Hybrid Data Security som én enkelt klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen gjennom sikre websockets og sikker HTTP.
Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere den virtuelle enheten på de virtuelle maskinene du oppgir. Du bruker installasjonsverktøyet for HDS til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Hybrid Data Security-klyngen bruker den medfølgende Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)
Det minste antallet noder du kan ha i en klynge, er to. Vi anbefaler minst tre, og du kan ha opptil fem. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)
Alle nodene i en klynge har tilgang til det samme nøkkeldatalageret og loggaktiviteten til den samme syslog-serveren. Nodene i seg selv er statsløse og håndterer nøkkelforespørsler på en roundrobin-måte, som anvist av skyen.
Nodene blir aktive når du registrerer dem i Control Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.
Vi støtter bare én klynge per organisasjon.
Prøveversjonsmodus for hybrid datasikkerhet
Etter at du har satt opp en Hybrid Data Security-distribusjon, kan du først prøve den med et sett med pilotbrukere. I løpet av prøveperioden bruker disse brukerne det lokale Hybrid Data Security-domenet ditt for krypteringsnøkler og andre sikkerhetstjenester. De andre brukerne dine fortsetter å bruke sikkerhetsområdet for skyen.
Hvis du bestemmer deg for ikke å fortsette med distribusjonen i løpet av prøveperioden og deaktivere tjenesten, mister pilotbrukerne og alle brukere de har samhandlet med ved å opprette nye områder i løpet av prøveperioden tilgangen til meldingene og innholdet. De vil se «Denne meldingen kan ikke dekrypteres» i Webex-appen.
Hvis du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, og du er klar til å utvide Hybrid Data Security til alle brukerne, flytter du distribusjonen til produksjon. Pilotbrukere fortsetter å ha tilgang til nøklene som var i bruk under prøveversjonen. Du kan imidlertid ikke gå frem og tilbake mellom produksjonsmodus og den opprinnelige prøveversjonen. Hvis du må deaktivere tjenesten, for eksempel for å utføre katastrofegjenoppretting, må du starte en ny prøveversjon og konfigurere settet med pilotbrukere for den nye prøveversjonen før du går tilbake til produksjonsmodus når du aktiverer den. Hvorvidt brukere beholder tilgangen til data på dette tidspunktet, avhenger av om du har vedlikeholdt sikkerhetskopier av datalager og ISO konfigurasjonsfil for Hybrid Data Security-nodene i klyngen.
Datasenter i ventemodus for katastrofegjenoppretting
Under distribusjonen konfigurerer du et sikkert datasenter i ventemodus . I tilfelle en datasenter , kan du feile distribusjonen manuelt over til datasenter i ventemodus .
Databasene til det aktive datasenteret og datasenteret i ventemodus er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover. ISO-filen til datasenter for ventemodus oppdateres med flere konfigurasjoner som sikrer at nodene registreres i organisasjonen, men ikke håndterer trafikk. Derfor forblir nodene i standby datasenter alltid oppdatert med den nyeste versjonen av HDS-programvaren.
De aktive hybriddatasikkerhetsnodene må alltid være i samme datasenter som den aktive databaseserver. |
Konfigurere datasenter i ventemodus for katastrofegjenoppretting
Følg trinnene nedenfor for å konfigurere ISO-filen for datasenter i ventemodus:
Før du starter
datasenter i ventemodus skal speile produksjonsmiljøet til virtuelle maskiner og en sikkerhetskopi av PostgreSQL- eller Microsoft SQL Server-database. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. (Se Datasenter i ventemodus for katastrofegjenoppretting for en oversikt over denne failover-modellen.)
Kontroller at databasesynkronisering er aktivert mellom databasen med aktive og passive klyngenoder.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .
| ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor for å plassere noden i passiv modus. I denne modusen vil noden være registrert i organisasjonen og koblet til skyen, men vil ikke håndtere trafikk.
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
Etter konfigurering passiveMode
i ISO-filen og lagrer den, kan du opprette en annen kopi av ISO-filen uten passiveMode
konfigurasjonen og lagre den på et sikkert sted. Denne kopien av ISO-filen uten passiveMode
konfigurert kan hjelpe i en rask failover-prosess under katastrofegjenoppretting. Se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus for den detaljerte failover-prosedyren.
Proxy-støtte
Hybriddatasikkerhet støtter eksplisitte, gjennomsiktige proxyer for inspeksjon og ikke-inspeksjon. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et grensesnitt for plattformadministrasjon på nodene for sertifikatadministrasjon og kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.
Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:
Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Klareringslager og proxy-konfigurasjon til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig ikke-inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse, og bør ikke trenge endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig tunnelering eller inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjon er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de klarerer proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer om hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og hvilken godkjenningsplan som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon for hver node:
Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.
Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.
Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:
HTTP – Viser og kontrollerer alle forespørsler som klienten sender.
HTTPS – Gir en kanal til serveren. Klienten mottar og godkjenner serverens sertifikat.
Godkjenningstype – Velg blant følgende godkjenningstyper:
Ingen – Ingen ytterligere godkjenning er nødvendig.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Grunnleggende – Brukes for en HTTP-brukeragent til å angi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.
Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Eksempel på noder og proxy for hybriddatasikkerhet
Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og HTTPS eksplisitt inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.
Blokkert ekstern DNS-oppløsningsmodus (eksplisitt proxy-konfigurasjoner)
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsningsmodus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.
Krav for hybrid datasikkerhet
Lisenskrav for Cisco Webex
Slik distribuerer du hybrid datasikkerhet:
Du må ha Pro Pack for Cisco Webex Control Hub. (Sehttps://www.cisco.com/go/pro-pack .)
Krav til Docker-skrivebord
Før du installerer HDS-nodene, må du ha Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig lisensieringsmodellen. Organisasjonen din kan kreve et betalt abonnement for Docker Desktop. Hvis du vil ha mer informasjon, se Docker-blogginnlegget, « Docker oppdaterer og utvider produktabonnementene våre «.
Krav til X.509-sertifikater
sertifikatkjede må oppfylle følgende krav:
Krav | Detaljer |
---|---|
| Som standard klarerer vi sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) påhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN-en trenger ikke å være tilgjengelig eller være en direktevert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel CN kan ikke inneholde en * (jokertegn). CN brukes til å bekrefte hybriddatasikkerhetsnodene til Webex App-klienter. Alle hybriddatasikkerhetsnodene i klyngen bruker det samme sertifikatet. KMS-en din identifiserer seg ved hjelp av CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene. Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN- domenenavn. Velg et domene som kan gjelde for både prøveversjonen og produksjonsdistribusjonene. |
| KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjoners KMS-er. |
| Du kan bruke et konverteringsprogram som OpenSSL til å endre sertifikatets format. Du må angi passordet når du kjører HDS-installasjonsverktøyet. |
KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifiseringsinstanser krever at utvidede begrensninger for nøkkelbruk brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.
Krav til virtuell vert
De virtuelle vertene som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen, har følgende krav:
Minst to separate verter (tre anbefales) plassert i det samme sikre datasenter
VMware ESXi 6.5 (eller nyere) er installert og kjører.
Du må oppgradere hvis du har en tidligere versjon av ESXi.
Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokal harddiskplass per server
Krav til databaseserver
Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene, når de er installert, oppretter databaseskjemaet. |
Det finnes to alternativer for databaseserver. Kravene for hver av dem er som følger:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) | Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) |
HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserver:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC-driver 42.2.5 | SQL Server JDBC-driver 4.6 Denne driverversjonen støtter SQL Server Always On ( Alltid på failover-klyngeforekomster og Alltid på tilgjengelighetsgrupper ). |
Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server
Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:
HDS-nodene, Active Directory -infrastrukturen og MS SQL Server må alle være synkronisert med NTP.
Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.
DNS-serverne du oppgir til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).
Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et Service Principal Name (SPN) i Active Directory. Se Registrer et hovednavn for tjeneste for Kerberos Connections .
HDS-oppsettverktøyet, HDS-startprogrammet og lokal KMS må alle bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN når de ber om tilgang med Kerberos-autentisering.
Krav til ekstern tilkobling
Konfigurer brannmuren til å tillate følgende tilkoblingsmuligheter for HDS-programmene:
Applikasjon | Protokoll | Port | Veibeskrivelse fra app | Destinasjon |
---|---|---|---|---|
Hybride datasikkerhetsnoder | TCP | 443 | Utgående HTTPS og WSS |
|
HDS-oppsettverktøy | TCP | 443 | Utgående HTTPS |
|
Hybrid Data Security-nodene fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmur tillater de nødvendige utgående tilkoblingene til domenemålene i den foregående tabellen. For tilkoblinger som går inn til Hybrid Data Security-nodene, skal ingen porter være synlige fra Internett. I datasenter ditt trenger klienter tilgang til hybriddatasikkerhetsnodene på TCP-portene 443 og 22 til administrative formål. |
URL-adressene for CI-vertene (Common Identity) er regionsspesifikke. Dette er de nåværende CI-vertene:
Region | Felles URL-adresser for vertsidentitet |
---|---|
Nord- og Sør-Amerika |
|
Den europeiske union |
|
Canada |
|
Krav til proxy-server
Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene dine for hybriddatasikkerhet.
Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).
Eksplisitt proxy – Squid.
Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av WebSocket (wss:) tilkoblinger. Hvis du vil omgå dette problemet, kan du se Konfigurer Squid-proxyer for hybrid datasikkerhet .
Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:
Ingen godkjenning med HTTP eller HTTPS
Enkel godkjenning med HTTP eller HTTPS
Sammendragsgodkjenning kun med HTTPS
Hvis du vil ha en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne håndboken beskriver hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnoder.
Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.
Proxyer som inspiserer nettrafikk, kan forstyrre WebSocket-tilkoblinger. Hvis dette problemet oppstår, kan du omgå (ikke inspisere) trafikk til
wbx2.com
ogciscospark.com
vil løse problemet.
Fullfør forutsetningene for hybrid datasikkerhet
1 | Kontroller at Webex-organisasjonen din er aktivert for Pro Pack for Cisco Webex Control Hub, og få legitimasjonen til en konto med fulle administrator . Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen. | ||
2 | Velg et domenenavn for HDS-distribusjonen (for eksempel | ||
3 | Klargjør identiske virtuelle verter som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen. Du trenger minst to separate verter (tre anbefales) plassert i det samme sikre datasenter, som oppfyller kravene i Krav til virtuell vert . | ||
4 | Klargjør databaseserver som skal fungere som datalager for klyngen, i henhold til Krav til databaseserver . databaseserver må være lokalisert i det sikre datasenter med de virtuelle vertene. | ||
5 | Hvis du vil ha rask gjenoppretting ved katastrofegjenoppretting, konfigurerer du et sikkerhetskopimiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet for virtuelle datamaskiner og en databaseserver. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. | ||
6 | Konfigurer en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadresse og syslog-porten (standard er UDP 514). | ||
7 | Opprett en sikker sikkerhetskopieringspolicy for Hybrid Data Security-nodene, databaseserver og syslog-verten. For å forhindre tap av ugjenopprettelig data må du som et minimum sikkerhetskopiere databasen og ISO-konfigurasjonsfilen som er generert for Hybrid Data Security-nodene.
Webex App-klienter hurtigbufrer nøklene sine, så et driftsbrudd vil kanskje ikke merkes umiddelbart, men vil bli tydelig over tid. Selv om midlertidige strømbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopier tilgjengelig) av enten databasen eller ISO-konfigurasjonsfilen vil imidlertid føre til kundedata som ikke kan gjenopprettes. Operatørene av Hybrid Data Security-nodene forventes å opprettholde hyppige sikkerhetskopier av databasen og ISO-konfigurasjonsfilen, og være forberedt på å gjenoppbygge Hybrid Data Security datasenter hvis det oppstår en katastrofal feil. | ||
8 | Kontroller at brannmurkonfigurasjonen tillater tilkobling for Hybrid Data Security-nodene som angitt i Krav til ekstern tilkobling . | ||
9 | Installer Docker (https://www.docker.com ) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til den på http://127.0.0.1:8080. Du bruker Docker-forekomsten til å laste ned og kjøre installasjonsverktøyet for HDS, som bygger den lokale konfigurasjonsinformasjon for alle Hybrid Data Security-nodene. Organisasjonen din kan trenge en Docker Desktop-lisens. Se Krav til Docker-skrivebord hvis du vil ha mer informasjon. Hvis du vil installere og kjøre HDS-installasjonsverktøyet, må den lokale maskinen ha tilkoblingsmulighetene som er angitt i Krav til ekstern tilkobling . | ||
10 | Hvis du integrerer en proxy med Hybrid Data Security, må du kontrollere at den oppfyller Krav til proxy-server . | ||
11 | Hvis organisasjonen din bruker katalogsynkronisering, oppretter du en gruppe i Active Directory som heter
|
Oppgaveflyt for distribusjon av hybrid datasikkerhet
Før du starter
1 |
Last ned OVA-filen til din lokale maskin for senere bruk. | ||
2 | Opprett en konfigurasjons-ISO for HDS-vertene Bruk HDS-oppsettverktøyet til å opprette en ISO konfigurasjonsfil for hybriddatasikkerhetsnodene. | ||
3 |
Opprett en virtuell maskin fra OVA-filen og utfør den første konfigurasjonen, for eksempel nettverksinnstillinger.
| ||
4 | Konfigurer den virtuelle hybriddatasikkerhetsmaskinen Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon. | ||
5 | Last opp og monter HDS-konfigurasjons-ISO Konfigurer den virtuelle maskinen fra ISO konfigurasjonsfil du opprettet med HDS-installasjonsverktøyet. | ||
6 | Konfigurere HDS-noden for proxy-integrasjon Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du proxy-typen du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig. | ||
7 | Registrer den første noden i klyngen Registrer den virtuelle maskinen med Cisco Webex skyen som en hybrid datasikkerhetsnode. | ||
8 | Opprett og registrer flere noder Fullfør klyngeoppsettet. | ||
9 | Kjør en prøveversjon og gå til produksjon (neste kapittel) Frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert. |
Last ned installasjonsfiler
1 | Logg påhttps://admin.webex.com , og klikk deretter Tjenester . | ||||
2 | Finn Hybrid Data Security-kortet under Hybridtjenester, og klikk deretter på Konfigurer . Hvis kortet er deaktivert eller du ikke ser det, kontakter du kontoteamet ditt eller partnerorganisasjonen din. Gi dem kontonummeret ditt, og be om å aktivere organisasjonen din for Hybrid Data Security. Hvis du vil finne kontonummeret, klikker du på tannhjulet øverst til høyre, ved siden av organisasjonsnavnet.
| ||||
3 | Velg Nei for å indikere at du ikke har satt opp noden ennå, og klikk deretter på Neste . Nedlastingen av OVA-filen begynner automatisk. Lagre filen et sted på maskinen.
| ||||
4 | Du kan også klikke på Åpne Distribusjonsveiledning for å sjekke om det finnes en nyere versjon av denne veiledningen. |
Opprett en konfigurasjons-ISO for HDS-vertene
Konfigurasjonsprosessen for Hybrid Data Security oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere Hybrid Data Security-verten.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariabler når du henter frem Docker-beholderen i trinn 5 . Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen når du gjør konfigurasjonsendringer, for eksempel disse:
Databaselegitimasjon
Sertifikatoppdateringer
Endringer i retningslinjene for autorisasjon
Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du PostgreSQL- eller SQL Server-distribusjonen for TLS.
1 | På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende:
| ||||||||||||
3 | Når du blir bedt om passord, skriver du inn denne hashen:
| ||||||||||||
4 | Last ned det nyeste stabile bildet for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:
Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080». | ||||||||||||
6 |
Bruk en nettleser til å gå til den lokale verten, Verktøyet bruker denne første oppføringen i brukernavnet til å angi riktig miljø for den kontoen. Verktøyet viser deretter standard påloggingsmelding. | ||||||||||||
7 | Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Control Hub-kundeadministratoren, og klikker deretter på Logg inn for å gi tilgang til de nødvendige tjenestene for Hybrid Data Security. | ||||||||||||
8 | På oversiktssiden for installasjonsverktøy klikker du på Kom i gang . | ||||||||||||
9 | På ISO-import side, har du disse alternativene:
| ||||||||||||
10 | Kontroller at X.509-sertifikatet oppfyller kravene i Krav til X.509-sertifikater .
| ||||||||||||
11 | Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret: | ||||||||||||
12 | Velg en Tilkoblingsmodus for TLS-database :
Når du laster opp rotsertifikat (om nødvendig), og klikker Fortsett tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserver. Verktøyet bekrefter også sertifikatunderskriveren og vertsnavnet, hvis det er aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan det hende at HDS-nodene kan opprette TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.) | ||||||||||||
13 | Konfigurer Syslogd-serveren på siden Systemlogger: | ||||||||||||
14 | (Valgfritt) Du kan endre standardverdi for noen databasetilkoblingsparametere i Avanserte innstillinger . Vanligvis er denne parameteren den eneste du kanskje vil endre:
| ||||||||||||
15 | Klikk på Fortsett på Tilbakestill passordet for tjenestekontoer skjermen. Passord for tjenestekontoer har en levetid på ni måneder. Bruk denne skjermen når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem for å ugyldiggjøre tidligere ISO-filer. | ||||||||||||
16 | Klikk på Last ned ISO-fil . Lagre filen på et sted som er lett å finne. | ||||||||||||
17 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||||||||||||
18 | Hvis du vil avslutte konfigureringsverktøyet, skriver du inn |
Hva nå?
Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.
Vi har aldri en kopi av denne nøkkelen, og kan ikke hjelpe hvis du mister den. |
Installer HDS Host OVA
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten. | ||||||
2 | Velg Fil > Distribuer OVF-mal . | ||||||
3 | Angi plasseringen av OVA-filen du lastet ned tidligere i veiviseren, og klikk deretter på Neste . | ||||||
4 | På Velg et navn og en mappe side, skriver du inn en Navn på virtuell maskin for noden (for eksempel «HDS_ Node_ 1"), velg et sted der nodedistribusjonen for den virtuell maskin kan ligge, og klikk deretter Neste . | ||||||
5 | På Velg en databehandlingsressurs -siden, velg måldataressursen, og klikk deretter Neste . Det kjøres en valideringskontroll. Når den er fullført, vises maldetaljene. | ||||||
6 | Kontroller maldetaljene, og klikk deretter på Neste . | ||||||
7 | Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon side, klikk 4 CPUer og klikk deretter Neste . | ||||||
8 | På Velg lagring side, klikk Neste for å godta standard diskformat og retningslinjer for VM-lagring. | ||||||
9 | På Velg nettverk -siden, velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til den virtuelle maskinen. | ||||||
10 | På Tilpass mal side, konfigurerer du følgende nettverksinnstillinger:
Hvis du foretrekker det, kan du hoppe over konfigurasjonen av nettverksinnstillinger og følge trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen for å konfigurere innstillingene fra nodekonsollen.
| ||||||
11 | Høyreklikk på den virtuelle noden, og velg deretter .Hybrid Data Security-programvaren installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden. Feilsøkingstips Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen ved første oppstart, der du ikke kan logge på. |
Konfigurer den virtuelle hybriddatasikkerhetsmaskinen
Bruk denne fremgangsmåten til å logge på VM-konsollen for Hybrid Data Security-noden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.
1 | I VMware vSphere-klienten velger du den virtuelle hybriddatasikkerhetsnoden og velger Konsoll -fanen. Den virtuelle maskinen starter opp, og det vises en påloggingsmelding. Hvis påloggingsmeldingen ikke vises, trykker du på Gå inn .
|
2 | Bruk følgende standard påloggingsinformasjon og passord for å logge på og endre legitimasjonen: Siden du logger på den virtuelle maskinen for første gang, må du endre administrator . |
3 | Hvis du allerede har konfigurert nettverksinnstillinger i Installer HDS Host OVA , hopper du over resten av denne prosedyren. Ellers velger du på hovedmeny Rediger konfigurasjon alternativet. |
4 | Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke. |
5 | (Valgfritt) Endre vertsnavnet, domenet eller NTP-server(e) om nødvendig for å samsvare med nettverkspolicyen din. Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet. |
6 | Lagre nettverkskonfigurasjon og start den virtuelle maskinen på nytt slik at endringene trer i kraft. |
Last opp og monter HDS-konfigurasjons-ISO
Før du starter
Siden ISO-filen inneholder hovednøkkelen, bør den bare vises på en «trenger å vite»-basis, for tilgang for de virtuelle hybriddatasikkerhets-ene og alle administratorer som måtte trenge å gjøre endringer. Kontroller at bare disse administratorene har tilgang til datalageret.
1 | Last opp ISO-filen fra datamaskinen: |
2 | Monter ISO-filen: |
Hva nå?
Hvis IT-retningslinjene krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene dine har registrert konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.
Konfigurere HDS-noden for proxy-integrasjon
Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybriddatasikkerhet. Hvis du velger en gjennomsiktig inspeksjonsproxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet og feilsøke eventuelle problemer.
Før du starter
Se Proxy-støtte hvis du vil ha en oversikt over proxy-alternativene som støttes.
1 | Angi URL-adressen til oppsett av HDS-node |
2 | Gå til Klareringslager og proxy, og velg deretter et alternativ:
Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en HTTP-eksplisitt proxy med enkel godkjenning eller en eksplisitt HTTPS-proxy. |
3 | Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen. Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på vinkeltegnpilen ved navnet på sertifikatutstederen for å få flere detaljer, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt. |
4 | Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen. Hvis tilkoblingstesten mislykkes, ser du en feilmelding som viser årsaken og hvordan du kan løse problemet. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne betingelsen forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene, og deretter ser du Slå av blokkert ekstern DNS-oppløsningsmodus . |
5 | Etter at tilkoblingstesten blir bestått, kun for eksplisitt proxy satt til https, setter du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen trer i kraft etter 15 sekunder. |
6 | Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en HTTP-eksplisitt proxy), les ledeteksten, og klikk deretter på Installer hvis du er klar. Noden starter på nytt i løpet av noen få minutter. |
7 | Når noden har startet på nytt, logger du på igjen om nødvendig, og deretter åpner du Oversikt-siden for å kontrollere tilkoblingskontrollene for å sikre at alle har grønn status. Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det oppstår tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen. |
Registrer den første noden i klyngen
Når du registrerer den første noden, oppretter du en klynge som noden er tilordnet. En klynge inneholder én eller flere noder distribuert for å gi redundans.
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Logg på https://admin.webex.com. |
2 | Fra menyen på venstre side av skjermen velger du Tjenester . |
3 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Konfigurer . Siden Registrer hybrid node for datasikkerhet vises.
|
4 | Velg Ja for å indikere at du har satt opp noden og er klar til å registrere den, og klikk deretter på Neste . |
5 | I det første feltet skriver du inn et navn på klyngen du vil tilordne Hybrid Data Security-noden til. Vi anbefaler at du gir navn til en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: «San Francisco» eller «New York» eller «Dallas» |
6 | I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste . Denne IP-adresse eller FQDN må samsvare med IP-adresse eller vertsnavnet og domenet du brukte i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . Det vises en melding som angir at du kan registrere noden til Webex.
|
7 | Klikk på Gå til Node . |
8 | Klikk på Fortsett i advarselsmelding. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til Webex-organisasjonen din for å få tilgang til noden.
|
9 | Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett . Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
|
10 | Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden. På Hybrid datasikkerhet side, vises den nye klyngen som inneholder noden du registrerte. Noden vil automatisk laste ned den nyeste programvaren fra skyen.
|
Opprett og registrer flere noder
På dette tidspunktet er de virtuelle sikkerhetskopiene-ene du opprettet i Fullfør forutsetningene for hybrid datasikkerhet er standby-verter som bare brukes i tilfelle katastrofegjenoppretting; de er ikke registrert i systemet før da. Hvis du vil ha mer informasjon, se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus . |
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA . |
2 | Konfigurer den første konfigurasjonen på den nye virtuelle maskinen, og gjenta trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . |
3 | Gjenta trinnene i den nye VM-en Last opp og monter HDS-konfigurasjons-ISO . |
4 | Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrering etter behov for den nye noden. |
5 | Registrer noden. Noden din er registrert. Merk at frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.
|
Hva nå?
Oppgaveflyt fra prøveversjon til produksjon
Når du har konfigurert en Hybrid Data Security-klynge, kan du starte en pilot, legge til brukere i den og begynne å bruke den til testing og bekreftelse av distribusjonen som forberedelse til overgang til produksjon.
Før du starter
1 | Hvis det er aktuelt, synkroniserer du Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge |
2 |
Start en prøveversjon. Frem til du gjør denne oppgaven, genererer nodene en alarm som indikerer at tjenesten ennå ikke er aktivert. |
3 | Test hybriddistribusjonen av datasikkerhet Kontroller at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen. |
4 | Overvåke helse for hybrid datasikkerhet Sjekk status, og konfigurer e-postvarsler for alarmer. |
5 | |
6 | Fullfør prøveperioden med én av følgende handlinger: |
Aktiver prøveversjon
Før du starter
Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup
gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.
1 | Logg påhttps://admin.webex.com , og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Start prøveversjonen . Tjenestestatusen endres til prøveversjonsmodus.
|
4 | Klikk på Legg til brukere og angi e-postadresse til én eller flere brukere for å prøve å bruke Hybrid Data Security-nodene for kryptering og indekseringstjenester. (Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory til å administrere prøvegruppen, |
Test hybriddistribusjonen av datasikkerhet
Før du starter
Konfigurer Hybrid Data Security-distribusjonen.
Aktiver prøveversjonen, og legg til flere prøveversjonsbrukere.
Kontroller at du har tilgang til syslog for å bekrefte at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.
1 | Taster for et gitt område angis av oppretteren av området. Logg på Webex-appen som én av pilotbrukerne, og opprett deretter et område og inviter minst én pilotbruker og én ikke-pilotbruker.
| ||
2 | Send meldinger til det nye området. | ||
3 | Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til Hybrid Data Security-distribusjonen. |
Overvåke helse for hybrid datasikkerhet
1 | I Kontrollhub , velger du Tjenester fra menyen på venstre side av skjermen. |
2 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Innstillinger . Siden Innstillinger for hybrid datasikkerhet vises.
|
3 | I delen E-postvarsler skriver du inn én eller flere e-postadresser atskilt med komma, og trykker på Gå inn . |
Legg til eller fjern brukere fra prøveversjonen
Hvis du fjerner en bruker fra prøveversjonen, vil brukerens klient be om å opprette nøkler og nøkler fra KMS-skyen i stedet for KMS-en din. Hvis klienten trenger en nøkkel som er lagret på KMS-en, vil KMS-en i skyen hente den på brukerens vegne.
Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory (i stedet for denne prosedyren) til å administrere prøvegruppen, HdsTrialGroup
; du kan vise gruppemedlemmene i Control Hub, men kan ikke legge til eller fjerne dem.
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Prøvemodus i området Tjenestestatus klikker du på Legg til brukere , eller klikk vise og redigere for å fjerne brukere fra prøveversjonen. |
4 | Skriv inn e-postadresse til én eller flere brukere som skal legges til, eller klikk på X av en bruker-ID for å fjerne brukeren fra prøveversjonen. Klikk deretter på Lagre. |
Gå fra prøveversjon til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Flytt til produksjon . |
4 | Bekreft at du vil flytte alle brukerne til produksjon. |
Avslutt prøveversjonen uten å gå til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I Deaktiver-delen klikker du på Deaktiver . |
4 | Bekreft at du vil deaktivere tjenesten og avslutte prøveversjonen. |
Behandle HDS-distribusjon
Bruk oppgavene som er beskrevet her, til å administrere Hybrid Data Security-distribusjonen.
Angi tidsplan for klyngeoppgradering
Slik angir du oppgraderingsplanen:
1 | Logg på Kontrollhub . |
2 | På Oversikt-siden, under Hybridtjenester, velger du Hybrid datasikkerhet . |
3 | Velg klyngen på siden Hybriddatasikkerhetsressurser. |
4 | I Oversikt-panelet til høyre, under Klyngeinnstillinger, velger du klyngenavnet. |
5 | På Innstillinger-siden, under Oppgradering, velger du tid og tidssone for oppgraderingsplanen. Merk: Under tidssone vises dato og klokkeslett for neste tilgjengelige oppgradering. Du kan om nødvendig utsette oppgraderingen til neste dag ved å klikke på Utsette . |
Endre nodekonfigurasjonen
Endring av x.509-sertifikater på grunn av utløpsdato eller andre årsaker.
Vi støtter ikke endring av CN- domenenavn for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.
Oppdaterer databaseinnstillinger for å endre til en replika av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt vei. Hvis du vil bytte databasemiljø, starter du en ny distribusjon av Hybrid Data Security.
Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.
Av sikkerhetsmessige årsaker bruker Hybriddata-sikkerhet passord som har en levetid på ni måneder på tjenestekontoer. HDS-installasjonsverktøyet genererer disse passordene, og du distribuerer dem til hver av HDS-nodene dine som en del av ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløp, mottar du et «Varsel om utløp av passord» fra Webex-teamet, der du blir bedt om å tilbakestille passordet for maskinkontoen. (E-posten inneholder teksten «Bruk maskinkontoens API til å oppdatere passordet.») Hvis passordene ikke er utløpt ennå, gir verktøyet deg to alternativer:
Myk tilbakestilling – Det gamle og det nye passordet fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.
Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.
Hvis passordene dine utløper uten en tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.
Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du henter opp Docker-beholderen i 1.e . Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO-en inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO-en når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i autorisasjonspolicy.
1 | Kjør HDS-konfigureringsverktøyet via Docker på en lokal maskin. |
2 | Hvis du kun kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den via den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, se Opprett og registrer flere noder . |
3 | For eksisterende HDS-noder som kjører den eldre konfigurasjonsfil, monterer du ISO-filen. Utfør følgende prosedyre på hver node etter tur, og oppdater hver node før du slår av neste node: |
4 | Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen. |
Deaktiver blokkert ekstern DNS-oppløsningsmodus
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modusen blokkert ekstern DNS-oppløsning.
Hvis nodene kan løse offentlige DNS-navn via interne DNS-servere, kan du deaktivere denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.
Før du starter
1 | Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/-oppsett, for eksempel https://192.0.2.0/setup),angi administratorlegitimasjonen du konfigurerte for noden, og klikk deretter på Logg på. |
2 | Gå til Oversikt (standardsiden). Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja. |
3 | Gå til siden Klareringslager og proxy. |
4 | Klikk på Kontroller proxy-tilkobling. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og den vil forbli i denne modusen. Ellers, etter at du har startet noden på nytt og gått tilbake til Oversikt-siden, bør Blokkert ekstern DNS-oppløsning settes til Nei. |
Hva nå?
Fjerne en node
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuell maskin. |
2 | Fjern noden: |
3 | Slett den virtuelle maskinen i vSphere-klienten. (I venstre navigasjonsrute høyreklikk du på den virtuelle maskinen og klikker Slett .) Hvis du ikke sletter den virtuelle maskinen, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke den virtuelle maskinen til å få tilgang til sikkerhetsdataene dine. |
Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus
Den mest kritiske tjenesten Hybrid Data Security-klyngen tilbyr, er opprettelse og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet Hybrid Data Security, rutes nye forespørsler om å opprette nøkkel til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til alle brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.
Siden klyngen utfører den kritiske funksjonen med å oppgi disse nøklene, er det viktig at klyngen fortsetter å kjøre og at forsvarlige sikkerhetskopier opprettholdes. Tap av Hybrid Data Security-databasen eller av ISO-konfigurasjonen som ble brukt for skjemaet, vil føre til TAP av kundeinnhold som ikke kan gjenopprettes. Følgende fremgangsmåter er obligatoriske for å forhindre slikt tap:
Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenter blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til datasenter i ventemodus.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene . | ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor eller fjerner
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
(Valgfritt) Avmonter ISO etter HDS-konfigurasjon
Standard HDS-konfigurasjonen kjører med ISO-en montert. Men noen kunder foretrekker å ikke la ISO-filer være kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-noder har plukket opp den nye konfigurasjonen.
Du bruker fortsatt ISO-filene til å gjøre konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO via installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene dine har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en på nytt med denne prosedyren.
Før du starter
Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.
1 | Avslutt én av HDS-nodene dine. |
2 | I vCenter Server Appliance velger du HDS-noden. |
3 | Velg ISO-fil for datalager . og fjern merket |
4 | Slå på HDS-noden og kontroller at det ikke er noen alarmer på minst 20 minutter. |
5 | Gjenta for hver HDS-node etter tur. |
Vis varsler og feilsøking
En Hybrid Data Security-distribusjon anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller hvis klyngen fungerer så sakte at forespørslene tidsavbrudd. Hvis brukere ikke kan nå Hybrid Data Security-klyngen, opplever de følgende symptomer:
Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)
Meldinger og områdetitler kan ikke dekrypteres for:
Nye brukere lagt til i et område (kan ikke hente nøkler)
Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)
Eksisterende brukere i et område fortsetter å kjøre så lenge klientene deres har en hurtigbuffer for krypteringsnøklene
Det er viktig at du overvåker Hybrid Data Security-klyngen på riktig måte og adresserer alle varsler umiddelbart for å unngå avbrudd i tjenesten.
Varsler
Hvis det er et problem med oppsettet av Hybrid Data Security, viser Control Hub varsler til administrator og sender e-postmeldinger til den konfigurerte e-postadresse. Varslene dekker mange vanlige scenarier.
Varsel | Handling |
---|---|
Feil ved tilgang til lokal database. |
Se etter databasefeil eller problemer med det lokale nettverket. |
tilkoblingsfeil til lokal database. |
Kontroller at databaseserver er tilgjengelig, og at riktig påloggingsinformasjon for tjenestekonto ble brukt i nodekonfigurasjonen. |
Tilgangsfeil for skytjeneste. |
Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling . |
Fornyer registrering av skytjeneste. |
Registrering for skytjenester ble avbrutt. Fornyelse av registrering pågår. |
Registrering av skytjeneste ble avbrutt. |
Registreringen til skytjenester ble avsluttet. Tjenesten avsluttes. |
Tjenesten ikke aktivert ennå. |
Aktiver en prøveversjon, eller fullfør flyttingen av prøveversjonen til produksjon. |
Det konfigurerte domenet samsvarer ikke med serversertifikat. |
Kontroller at serversertifikat samsvarer med det konfigurerte domenet for tjenesteaktivering. Den mest sannsynlige årsaken er at sertifikatet CN nylig ble endret og nå er forskjellig fra CN som ble brukt under det første oppsettet. |
Kunne ikke autentisere for skytjenester. |
Se etter nøyaktighet og mulig utløp av legitimasjon for tjenestekonto . |
Kunne ikke åpne den lokale nøkkellagerfilen. |
Se etter integritet og passordnøyaktighet i den lokale nøkkellagerfilen. |
Det lokale serversertifikat er ugyldig. |
Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans. |
Kan ikke legge inn beregninger. |
Sjekk lokal nettverkstilgang til eksterne skytjenester. |
Katalogen /media/configdrive/hds finnes ikke. |
Kontroller konfigurasjonen for ISO-montering på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å montere ved omstart, og at den er vellykket. |
Feilsøke hybrid datasikkerhet
1 | Se gjennom Control Hub for å se eventuelle varsler, og reparer alle elementer du finner der. |
2 | Se gjennom syslog-serverutdataene for aktivitet fra Hybrid Data Security-distribusjonen. |
3 | Kontakt Cisco-støtte . |
Kjente problemer med hybrid datasikkerhet
Hvis du avslutter Hybrid Data Security-klyngen (ved å slette den i Control Hub eller ved å avslutte alle noder), mister ISO-konfigurasjonsfilen eller mister tilgangen til nøkkellagerdatabasen, kan brukerne av Webex-appen ikke lenger bruke områder under Personene sine liste som ble opprettet med nøkler fra KMS. Dette gjelder både prøveversjon og produksjonsdistribusjoner. Vi har for øyeblikket ingen løsning eller løsning for dette problemet, og vi ber deg innstendig om ikke å avslutte HDS-tjenestene dine når de håndterer aktive brukerkontoer.
En klient som har en eksisterende ECDH-tilkobling til en KMS, opprettholder denne tilkoblingen i en periode (sannsynligvis én time). Når en bruker blir medlem av en prøveversjon av Hybrid Data Security, fortsetter brukerens klient å bruke den eksisterende ECDH-tilkoblingen frem til tidsavbrudd. Alternativt kan brukeren logge av og på igjen Webex-appen for å oppdatere plasseringen appen kontakter for krypteringsnøkler.
Den samme virkemåten oppstår når du flytter en prøveversjon til produksjon for organisasjonen. Alle ikke-prøvebrukere med eksisterende ECDH-tilkoblinger til de tidligere datasikkerhetstjenestene vil fortsette å bruke disse tjenestene til ECDH-tilkoblingen reforhandles (gjennom tidsavbrudd eller ved å logge av og på igjen).
Bruk OpenSSL til å generere en PKCS12-fil
Før du starter
OpenSSL er ett verktøy som kan brukes til å gjøre PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi hverken støtter eller promoterer én måte fremfor en annen.
Hvis du velger å bruke OpenSSL, tilbyr vi denne fremgangsmåten som en retningslinje for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i Krav til X.509-sertifikater . Forstå disse kravene før du fortsetter.
Installer OpenSSL i et støttet miljø. Sehttps://www.openssl.org for programvaren og dokumentasjonen.
Opprett en privat nøkkel.
Start denne prosedyren når du mottar serversertifikat fra sertifiseringsinstans (CA).
1 | Når du mottar serversertifikat fra CA, lagrer du det som |
2 | Vis sertifikatet som tekst, og bekreft detaljene.
|
3 | Bruk et tekstredigeringsprogram til å opprette en sertifikatpakkefil kalt
|
4 | Opprett .p12-filen med det vennlige navnet
|
5 | Kontroller serversertifikat . |
Hva nå?
Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet . Du vil bruke hdsnode.p12
filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-vertene .
Du kan bruke disse filene på nytt til å be om et nytt sertifikat når det opprinnelige sertifikatet utløper. |
Trafikk mellom HDS-nodene og skyen
Utgående trafikk for innsamling av beregninger
Hybriddatasikkerhetsnodene sender bestemte beregninger til Webex-skyen. Disse inkluderer systemmålinger for maks. haug, brukt haug, CPU-belastning og antall tråder. målinger for synkrone og asynkrone tråder; målinger for varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller en forespørselskølengde; målinger på datalageret; og måleverdier for krypteringstilkobling. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).
Innkommende trafikk
Hybriddatasikkerhetsnodene mottar følgende typer innkommende trafikk fra Webex-skyen:
Krypteringsforespørsler fra klienter, som rutes av krypteringstjenesten
Oppgraderinger til nodeprogramvaren
Konfigurer Squid-proxyer for hybrid datasikkerhet
Websocket kan ikke koble til via Squid-proxy
Squid-proxyer som inspiserer HTTPS-trafikk, kan forstyrre etableringen av websocket ( wss:
)-tilkoblinger som Hybrid Data Security krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss:
trafikk for riktig drift av tjenestene.
Squid 4 og 5
Legg til on_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi testet Hybrid Data Security med følgende regler lagt til squid.conf
. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Ny og endret informasjon
Dato | Endringer gjort | ||
---|---|---|---|
20. oktober 2023 |
| ||
7. august 2023 |
| ||
23. mai 2023 |
| ||
6. desember 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop må kjøre et installasjonsprogram før du kan installere HDS-noder. Se Krav til Docker-skrivebord . | ||
24. juni 2021 | Merk at du kan bruke den private nøkkelfilen og CSR-en på nytt for å be om et annet sertifikat. Se Bruk OpenSSL til å generere en PKCS12-fil for detaljer. | ||
30. april 2021 | Endret VM-kravet for lokal harddiskplass til 30 GB. Se Krav til virtuell vert for detaljer. | ||
24. februar 2021 | HDS-installasjonsverktøyet kan nå kjøres bak en proxy. Se Opprett en konfigurasjons-ISO for HDS-vertene for detaljer. | ||
2. februar 2021 | HDS kan nå kjøres uten en montert ISO-fil. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer. | ||
11. januar 2021 | Lagt til informasjon om HDS-oppsettverktøy og proxyer til Opprett en konfigurasjons-ISO for HDS-vertene . | ||
13. oktober 2020 | Oppdatert Last ned installasjonsfiler . | ||
8. oktober 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med kommandoer for FedRAMP-miljøer. | ||
14. august 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med endringer i påloggingsprosessen. | ||
5. august 2020 | Oppdatert Test hybriddistribusjonen av datasikkerhet for endringer i loggmeldinger. Oppdatert Krav til virtuell vert for å fjerne maksimalt antall verter. | ||
16. juni 2020 | Oppdatert Fjerne en node for endringer i Control Hub-grensesnittet. | ||
4. juni 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for endringer i de avanserte innstillingene du måtte angi. | ||
29. mai 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for å vise at du også kan bruke TLS med SQL Server-databaser, brukergrensesnittendringer og andre presiseringer. | ||
5. mai 2020 | Oppdatert Krav til virtuell vert for å vise nye krav til ESXi 6.5. | ||
21. april 2020 | Oppdatert Krav til ekstern tilkobling med nye Americas CI-verter. | ||
1. april 2020 | Oppdatert Krav til ekstern tilkobling med informasjon om regionale CI-verter. | ||
20. februar 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med informasjon om det nye, valgfrie skjermbildet for avanserte innstillinger i HDS-oppsettverktøyet. | ||
4. februar 2020 | Oppdatert Krav til proxy-server . | ||
16. desember 2019 | Klargjorde kravet om at blokkert ekstern DNS-oppløsningsmodus skal fungere i Krav til proxy-server . | ||
19. november 2019 | La til informasjon om blokkert ekstern DNS-oppløsningsmodus i følgende deler: | ||
8. november 2019 | Du kan nå konfigurere nettverksinnstillinger for en node mens du distribuerer OVA i stedet for etterpå. Oppdaterte følgende deler tilsvarende:
| ||
6. september 2019 | Lagt til SQL Server Standard i Krav til databaseserver . | ||
29. august 2019 | Lagt til Konfigurer Squid-proxyer for hybrid datasikkerhet vedlegg med veiledning om konfigurering av Squid-proxyer til å ignorere websocket-trafikk for riktig drift. | ||
20. august 2019 | Lagt til og oppdaterte deler for å dekke proxy-støtte for hybrid datasikkerhetsnodekommunikasjon til Webex-skyen. Hvis du bare vil ha tilgang til proxy-støtteinnholdet for en eksisterende distribusjon, kan du se Proxy-støtte for hybrid datasikkerhet og Webex-videonett hjelpeartikkel. | ||
13. juni 2019 | Oppdatert Oppgaveflyt fra prøveversjon til produksjon med en påminnelse om å synkronisere HdsTrialGroup gruppeobjekt før du starter en prøveversjon hvis organisasjonen bruker katalogsynkronisering. | ||
6. mars 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. mai 2018 | Endret terminologi for å gjenspeile endringen av varemerke for Cisco Spark:
| ||
11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
2. november 2017 |
| ||
18. august 2017 | Først publisert |
Oversikt over hybrid datasikkerhet
Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er ende-til-ende-kryptering av innhold, aktivert av Webex App-klienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografinøklene som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.
Som standard får alle Webex App-kunder ende-til-ende-kryptering med dynamiske nøkler lagret i KMS-skyen, i Ciscos sikkerhetsområde. Hybrid datasikkerhet flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, slik at ingen andre enn deg har nøklene til ditt krypterte innhold.
Arkitektur for sikkerhetsriket
Webex-skyarkitekturen skiller forskjellige typer tjenester i separate områder, eller klareringsdomener, som vist nedenfor.
For å forstå Hybrid Data Security ytterligere, la oss først se på dette rene skysaken, der Cisco leverer alle funksjoner i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan korreleres direkte med personlig informasjon, for eksempel e-postadresse, er logisk og fysisk atskilt fra sikkerhetsområdet i datasenter B. Begge er igjen atskilt fra området der kryptert innhold til slutt lagres , i datasenter C.
I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og som er autentisert med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:
Klienten oppretter en sikker tilkobling med nøkkelbehandlingstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikker tilkobling bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en AES-256-hovednøkkel.
Meldingen krypteres før den forlater klienten. Klienten sender den til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe til med fremtidige søk etter innholdet.
Den krypterte meldingen sendes til samsvarstjenesten for samsvarskontroll.
Den krypterte meldingen lagres i lagringsområdet.
Når du distribuerer Hybrid Data Security, flytter du sikkerhetsområdets funksjoner (KMS, indeksering og samsvar) til det lokale datasenter. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos riker.
Samarbeide med andre organisasjoner
Brukere i organisasjonen din kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen (fordi det ble opprettet av en av brukerne), sender KMS-en nøkkelen til klienten over en ECDH-sikker kanal. Når en annen organisasjon eier nøkkelen for området, ruter KMS-en imidlertid forespørselen ut til Webex-skyen gjennom en egen ECDH-kanal for å hente nøkkelen fra riktig KMS, og returnerer deretter nøkkelen til brukeren på den opprinnelige kanalen.
KMS-tjenesten som kjøres på organisasjon A, validerer tilkoblingene til KMS-er i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet ditt for detaljer om generering av et x.509-sertifikat som skal brukes med Hybrid Data Security-distribusjonen.
Forventninger for distribusjon av hybrid datasikkerhet
En Hybrid Data Security-distribusjon krever betydelig kundeengasjement og en bevissthet om risikoene som følger med å eie krypteringsnøkler.
Hvis du vil distribuere Hybrid Data Security, må du oppgi:
Et sikkert datasenter i et land som er et støttet plassering for Cisco Webex Teams planene .
Utstyret, programvaren og nettverkstilgangen som er beskrevet i Forbered miljøet ditt .
Fullstendig tap av enten konfigurasjons-ISO-en du bygger for Hybrid Data Security eller databasen du oppgir, vil føre til tap av nøklene. Tap av nøkkel forhindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:
Behandle sikkerhetskopieringen og gjenopprettingen av databasen og konfigurasjonen av ISO.
Vær forberedt på å utføre rask gjenoppretting ved katastrofegjenoppretting hvis det oppstår en katastrofe, for eksempel en databasediskfeil eller en datasenter .
Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon. |
Konfigurasjonsprosess på høyt nivå
Dette dokumentet dekker oppsett og administrasjon av en Hybrid Data Security-distribusjon:
Konfigurer Hybrid Data Security – Dette inkluderer klargjøring av nødvendig infrastruktur og installasjon av Hybrid Data Security-programvare, testing av distribusjonen med et undersett av brukere i prøveversjonsmodus, og, når testingen er fullført, overgang til produksjon. Dette konverterer hele organisasjonen til å bruke Hybrid Data Security-klyngen for sikkerhetsfunksjoner.
Oppsett-, prøve- og produksjonsfasene dekkes i detalj i de neste tre kapitlene.
Vedlikeholde Hybrid Data Security-distribusjonen – Webex-skyen gir automatisk løpende oppgraderinger. IT-avdelingen din kan tilby nivå 1-støtte for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke skjermvarsler og konfigurere e-postbaserte varsler i Control Hub.
Forstå vanlige varsler, feilsøkingstrinn og kjente problemer –Hvis du får problemer med å distribuere eller bruke Hybrid Data Security, kan det siste kapitlet i denne veiledningen og tillegget Kjente problemer hjelpe deg med å finne ut og løse problemet.
Hybrid distribusjonsmodell for datasikkerhet
I foretningsdata distribuerer du Hybrid Data Security som én enkelt klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen gjennom sikre websockets og sikker HTTP.
Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere den virtuelle enheten på de virtuelle maskinene du oppgir. Du bruker installasjonsverktøyet for HDS til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Hybrid Data Security-klyngen bruker den medfølgende Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)
Det minste antallet noder du kan ha i en klynge, er to. Vi anbefaler minst tre, og du kan ha opptil fem. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)
Alle nodene i en klynge har tilgang til det samme nøkkeldatalageret og loggaktiviteten til den samme syslog-serveren. Nodene i seg selv er statsløse og håndterer nøkkelforespørsler på en roundrobin-måte, som anvist av skyen.
Nodene blir aktive når du registrerer dem i Control Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.
Vi støtter bare én klynge per organisasjon.
Prøveversjonsmodus for hybrid datasikkerhet
Etter at du har satt opp en Hybrid Data Security-distribusjon, kan du først prøve den med et sett med pilotbrukere. I løpet av prøveperioden bruker disse brukerne det lokale Hybrid Data Security-domenet ditt for krypteringsnøkler og andre sikkerhetstjenester. De andre brukerne dine fortsetter å bruke sikkerhetsområdet for skyen.
Hvis du bestemmer deg for ikke å fortsette med distribusjonen i løpet av prøveperioden og deaktivere tjenesten, mister pilotbrukerne og alle brukere de har samhandlet med ved å opprette nye områder i løpet av prøveperioden tilgangen til meldingene og innholdet. De vil se «Denne meldingen kan ikke dekrypteres» i Webex-appen.
Hvis du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, og du er klar til å utvide Hybrid Data Security til alle brukerne, flytter du distribusjonen til produksjon. Pilotbrukere fortsetter å ha tilgang til nøklene som var i bruk under prøveversjonen. Du kan imidlertid ikke gå frem og tilbake mellom produksjonsmodus og den opprinnelige prøveversjonen. Hvis du må deaktivere tjenesten, for eksempel for å utføre katastrofegjenoppretting, må du starte en ny prøveversjon og konfigurere settet med pilotbrukere for den nye prøveversjonen før du går tilbake til produksjonsmodus når du aktiverer den. Hvorvidt brukere beholder tilgangen til data på dette tidspunktet, avhenger av om du har vedlikeholdt sikkerhetskopier av datalager og ISO konfigurasjonsfil for Hybrid Data Security-nodene i klyngen.
Datasenter i ventemodus for katastrofegjenoppretting
Under distribusjonen konfigurerer du et sikkert datasenter i ventemodus . I tilfelle en datasenter , kan du feile distribusjonen manuelt over til datasenter i ventemodus .
Databasene til det aktive datasenteret og datasenteret i ventemodus er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover. ISO-filen til datasenter for ventemodus oppdateres med flere konfigurasjoner som sikrer at nodene registreres i organisasjonen, men ikke håndterer trafikk. Derfor forblir nodene i standby datasenter alltid oppdatert med den nyeste versjonen av HDS-programvaren.
De aktive hybriddatasikkerhetsnodene må alltid være i samme datasenter som den aktive databaseserver. |
Konfigurere datasenter i ventemodus for katastrofegjenoppretting
Følg trinnene nedenfor for å konfigurere ISO-filen for datasenter i ventemodus:
Før du starter
datasenter i ventemodus skal speile produksjonsmiljøet til virtuelle maskiner og en sikkerhetskopi av PostgreSQL- eller Microsoft SQL Server-database. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. (Se Datasenter i ventemodus for katastrofegjenoppretting for en oversikt over denne failover-modellen.)
Kontroller at databasesynkronisering er aktivert mellom databasen med aktive og passive klyngenoder.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .
| ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor for å plassere noden i passiv modus. I denne modusen vil noden være registrert i organisasjonen og koblet til skyen, men vil ikke håndtere trafikk.
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
Etter konfigurering passiveMode
i ISO-filen og lagrer den, kan du opprette en annen kopi av ISO-filen uten passiveMode
konfigurasjonen og lagre den på et sikkert sted. Denne kopien av ISO-filen uten passiveMode
konfigurert kan hjelpe i en rask failover-prosess under katastrofegjenoppretting. Se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus for den detaljerte failover-prosedyren.
Proxy-støtte
Hybriddatasikkerhet støtter eksplisitte, gjennomsiktige proxyer for inspeksjon og ikke-inspeksjon. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et grensesnitt for plattformadministrasjon på nodene for sertifikatadministrasjon og kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.
Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:
Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Klareringslager og proxy-konfigurasjon til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig ikke-inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse, og bør ikke trenge endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig tunnelering eller inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjon er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de klarerer proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer om hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og hvilken godkjenningsplan som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon for hver node:
Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.
Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.
Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:
HTTP – Viser og kontrollerer alle forespørsler som klienten sender.
HTTPS – Gir en kanal til serveren. Klienten mottar og godkjenner serverens sertifikat.
Godkjenningstype – Velg blant følgende godkjenningstyper:
Ingen – Ingen ytterligere godkjenning er nødvendig.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Grunnleggende – Brukes for en HTTP-brukeragent til å angi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.
Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Eksempel på noder og proxy for hybriddatasikkerhet
Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og HTTPS eksplisitt inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.
Blokkert ekstern DNS-oppløsningsmodus (eksplisitt proxy-konfigurasjoner)
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsningsmodus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.
Krav for hybrid datasikkerhet
Lisenskrav for Cisco Webex
Slik distribuerer du hybrid datasikkerhet:
Du må ha Pro Pack for Cisco Webex Control Hub. (Sehttps://www.cisco.com/go/pro-pack .)
Krav til Docker-skrivebord
Før du installerer HDS-nodene, må du ha Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig lisensieringsmodellen. Organisasjonen din kan kreve et betalt abonnement for Docker Desktop. Hvis du vil ha mer informasjon, se Docker-blogginnlegget, « Docker oppdaterer og utvider produktabonnementene våre «.
Krav til X.509-sertifikater
sertifikatkjede må oppfylle følgende krav:
Krav | Detaljer |
---|---|
| Som standard klarerer vi sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) påhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN-en trenger ikke å være tilgjengelig eller være en direktevert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel CN kan ikke inneholde en * (jokertegn). CN brukes til å bekrefte hybriddatasikkerhetsnodene til Webex App-klienter. Alle hybriddatasikkerhetsnodene i klyngen bruker det samme sertifikatet. KMS-en din identifiserer seg ved hjelp av CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene. Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN- domenenavn. Velg et domene som kan gjelde for både prøveversjonen og produksjonsdistribusjonene. |
| KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjoners KMS-er. |
| Du kan bruke et konverteringsprogram som OpenSSL til å endre sertifikatets format. Du må angi passordet når du kjører HDS-installasjonsverktøyet. |
KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifiseringsinstanser krever at utvidede begrensninger for nøkkelbruk brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.
Krav til virtuell vert
De virtuelle vertene som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen, har følgende krav:
Minst to separate verter (tre anbefales) plassert i det samme sikre datasenter
VMware ESXi 6.5 (eller nyere) er installert og kjører.
Du må oppgradere hvis du har en tidligere versjon av ESXi.
Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokal harddiskplass per server
Krav til databaseserver
Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene, når de er installert, oppretter databaseskjemaet. |
Det finnes to alternativer for databaseserver. Kravene for hver av dem er som følger:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) | Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) |
HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserver:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC-driver 42.2.5 | SQL Server JDBC-driver 4.6 Denne driverversjonen støtter SQL Server Always On ( Alltid på failover-klyngeforekomster og Alltid på tilgjengelighetsgrupper ). |
Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server
Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:
HDS-nodene, Active Directory -infrastrukturen og MS SQL Server må alle være synkronisert med NTP.
Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.
DNS-serverne du oppgir til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).
Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et Service Principal Name (SPN) i Active Directory. Se Registrer et hovednavn for tjeneste for Kerberos Connections .
HDS-oppsettverktøyet, HDS-startprogrammet og lokal KMS må alle bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN når de ber om tilgang med Kerberos-autentisering.
Krav til ekstern tilkobling
Konfigurer brannmuren til å tillate følgende tilkoblingsmuligheter for HDS-programmene:
Applikasjon | Protokoll | Port | Veibeskrivelse fra app | Destinasjon |
---|---|---|---|---|
Hybride datasikkerhetsnoder | TCP | 443 | Utgående HTTPS og WSS |
|
HDS-oppsettverktøy | TCP | 443 | Utgående HTTPS |
|
Hybrid Data Security-nodene fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmur tillater de nødvendige utgående tilkoblingene til domenemålene i den foregående tabellen. For tilkoblinger som går inn til Hybrid Data Security-nodene, skal ingen porter være synlige fra Internett. I datasenter ditt trenger klienter tilgang til hybriddatasikkerhetsnodene på TCP-portene 443 og 22 til administrative formål. |
URL-adressene for CI-vertene (Common Identity) er regionsspesifikke. Dette er de nåværende CI-vertene:
Region | Felles URL-adresser for vertsidentitet |
---|---|
Nord- og Sør-Amerika |
|
Den europeiske union |
|
Canada |
|
Krav til proxy-server
Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene dine for hybriddatasikkerhet.
Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).
Eksplisitt proxy – Squid.
Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av WebSocket (wss:) tilkoblinger. Hvis du vil omgå dette problemet, kan du se Konfigurer Squid-proxyer for hybrid datasikkerhet .
Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:
Ingen godkjenning med HTTP eller HTTPS
Enkel godkjenning med HTTP eller HTTPS
Sammendragsgodkjenning kun med HTTPS
Hvis du vil ha en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne håndboken beskriver hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnoder.
Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.
Proxyer som inspiserer nettrafikk, kan forstyrre WebSocket-tilkoblinger. Hvis dette problemet oppstår, kan du omgå (ikke inspisere) trafikk til
wbx2.com
ogciscospark.com
vil løse problemet.
Fullfør forutsetningene for hybrid datasikkerhet
1 | Kontroller at Webex-organisasjonen din er aktivert for Pro Pack for Cisco Webex Control Hub, og få legitimasjonen til en konto med fulle administrator . Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen. | ||
2 | Velg et domenenavn for HDS-distribusjonen (for eksempel | ||
3 | Klargjør identiske virtuelle verter som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen. Du trenger minst to separate verter (tre anbefales) plassert i det samme sikre datasenter, som oppfyller kravene i Krav til virtuell vert . | ||
4 | Klargjør databaseserver som skal fungere som datalager for klyngen, i henhold til Krav til databaseserver . databaseserver må være lokalisert i det sikre datasenter med de virtuelle vertene. | ||
5 | Hvis du vil ha rask gjenoppretting ved katastrofegjenoppretting, konfigurerer du et sikkerhetskopimiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet for virtuelle datamaskiner og en databaseserver. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. | ||
6 | Konfigurer en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadresse og syslog-porten (standard er UDP 514). | ||
7 | Opprett en sikker sikkerhetskopieringspolicy for Hybrid Data Security-nodene, databaseserver og syslog-verten. For å forhindre tap av ugjenopprettelig data må du som et minimum sikkerhetskopiere databasen og ISO-konfigurasjonsfilen som er generert for Hybrid Data Security-nodene.
Webex App-klienter hurtigbufrer nøklene sine, så et driftsbrudd vil kanskje ikke merkes umiddelbart, men vil bli tydelig over tid. Selv om midlertidige strømbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopier tilgjengelig) av enten databasen eller ISO-konfigurasjonsfilen vil imidlertid føre til kundedata som ikke kan gjenopprettes. Operatørene av Hybrid Data Security-nodene forventes å opprettholde hyppige sikkerhetskopier av databasen og ISO-konfigurasjonsfilen, og være forberedt på å gjenoppbygge Hybrid Data Security datasenter hvis det oppstår en katastrofal feil. | ||
8 | Kontroller at brannmurkonfigurasjonen tillater tilkobling for Hybrid Data Security-nodene som angitt i Krav til ekstern tilkobling . | ||
9 | Installer Docker (https://www.docker.com ) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til den på http://127.0.0.1:8080. Du bruker Docker-forekomsten til å laste ned og kjøre installasjonsverktøyet for HDS, som bygger den lokale konfigurasjonsinformasjon for alle Hybrid Data Security-nodene. Organisasjonen din kan trenge en Docker Desktop-lisens. Se Krav til Docker-skrivebord hvis du vil ha mer informasjon. Hvis du vil installere og kjøre HDS-installasjonsverktøyet, må den lokale maskinen ha tilkoblingsmulighetene som er angitt i Krav til ekstern tilkobling . | ||
10 | Hvis du integrerer en proxy med Hybrid Data Security, må du kontrollere at den oppfyller Krav til proxy-server . | ||
11 | Hvis organisasjonen din bruker katalogsynkronisering, oppretter du en gruppe i Active Directory som heter
|
Oppgaveflyt for distribusjon av hybrid datasikkerhet
Før du starter
1 |
Last ned OVA-filen til din lokale maskin for senere bruk. | ||
2 | Opprett en konfigurasjons-ISO for HDS-vertene Bruk HDS-oppsettverktøyet til å opprette en ISO konfigurasjonsfil for hybriddatasikkerhetsnodene. | ||
3 |
Opprett en virtuell maskin fra OVA-filen og utfør den første konfigurasjonen, for eksempel nettverksinnstillinger.
| ||
4 | Konfigurer den virtuelle hybriddatasikkerhetsmaskinen Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon. | ||
5 | Last opp og monter HDS-konfigurasjons-ISO Konfigurer den virtuelle maskinen fra ISO konfigurasjonsfil du opprettet med HDS-installasjonsverktøyet. | ||
6 | Konfigurere HDS-noden for proxy-integrasjon Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du proxy-typen du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig. | ||
7 | Registrer den første noden i klyngen Registrer den virtuelle maskinen med Cisco Webex skyen som en hybrid datasikkerhetsnode. | ||
8 | Opprett og registrer flere noder Fullfør klyngeoppsettet. | ||
9 | Kjør en prøveversjon og gå til produksjon (neste kapittel) Frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert. |
Last ned installasjonsfiler
1 | Logg påhttps://admin.webex.com , og klikk deretter Tjenester . | ||||
2 | Finn Hybrid Data Security-kortet under Hybridtjenester, og klikk deretter på Konfigurer . Hvis kortet er deaktivert eller du ikke ser det, kontakter du kontoteamet ditt eller partnerorganisasjonen din. Gi dem kontonummeret ditt, og be om å aktivere organisasjonen din for Hybrid Data Security. Hvis du vil finne kontonummeret, klikker du på tannhjulet øverst til høyre, ved siden av organisasjonsnavnet.
| ||||
3 | Velg Nei for å indikere at du ikke har satt opp noden ennå, og klikk deretter på Neste . Nedlastingen av OVA-filen begynner automatisk. Lagre filen et sted på maskinen.
| ||||
4 | Du kan også klikke på Åpne Distribusjonsveiledning for å sjekke om det finnes en nyere versjon av denne veiledningen. |
Opprett en konfigurasjons-ISO for HDS-vertene
Konfigurasjonsprosessen for Hybrid Data Security oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere Hybrid Data Security-verten.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariabler når du henter frem Docker-beholderen i trinn 5 . Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen når du gjør konfigurasjonsendringer, for eksempel disse:
Databaselegitimasjon
Sertifikatoppdateringer
Endringer i retningslinjene for autorisasjon
Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du PostgreSQL- eller SQL Server-distribusjonen for TLS.
1 | På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende:
| ||||||||||||
3 | Når du blir bedt om passord, skriver du inn denne hashen:
| ||||||||||||
4 | Last ned det nyeste stabile bildet for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:
Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080». | ||||||||||||
6 |
Bruk en nettleser til å gå til den lokale verten, Verktøyet bruker denne første oppføringen i brukernavnet til å angi riktig miljø for den kontoen. Verktøyet viser deretter standard påloggingsmelding. | ||||||||||||
7 | Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Control Hub-kundeadministratoren, og klikker deretter på Logg inn for å gi tilgang til de nødvendige tjenestene for Hybrid Data Security. | ||||||||||||
8 | På oversiktssiden for installasjonsverktøy klikker du på Kom i gang . | ||||||||||||
9 | På ISO-import side, har du disse alternativene:
| ||||||||||||
10 | Kontroller at X.509-sertifikatet oppfyller kravene i Krav til X.509-sertifikater .
| ||||||||||||
11 | Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret: | ||||||||||||
12 | Velg en Tilkoblingsmodus for TLS-database :
Når du laster opp rotsertifikat (om nødvendig), og klikker Fortsett tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserver. Verktøyet bekrefter også sertifikatunderskriveren og vertsnavnet, hvis det er aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan det hende at HDS-nodene kan opprette TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.) | ||||||||||||
13 | Konfigurer Syslogd-serveren på siden Systemlogger: | ||||||||||||
14 | (Valgfritt) Du kan endre standardverdi for noen databasetilkoblingsparametere i Avanserte innstillinger . Vanligvis er denne parameteren den eneste du kanskje vil endre:
| ||||||||||||
15 | Klikk på Fortsett på Tilbakestill passordet for tjenestekontoer skjermen. Passord for tjenestekontoer har en levetid på ni måneder. Bruk denne skjermen når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem for å ugyldiggjøre tidligere ISO-filer. | ||||||||||||
16 | Klikk på Last ned ISO-fil . Lagre filen på et sted som er lett å finne. | ||||||||||||
17 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||||||||||||
18 | Hvis du vil avslutte konfigureringsverktøyet, skriver du inn |
Hva nå?
Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.
Vi har aldri en kopi av denne nøkkelen, og kan ikke hjelpe hvis du mister den. |
Installer HDS Host OVA
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten. | ||||||
2 | Velg Fil > Distribuer OVF-mal . | ||||||
3 | Angi plasseringen av OVA-filen du lastet ned tidligere i veiviseren, og klikk deretter på Neste . | ||||||
4 | På Velg et navn og en mappe side, skriver du inn en Navn på virtuell maskin for noden (for eksempel «HDS_ Node_ 1"), velg et sted der nodedistribusjonen for den virtuell maskin kan ligge, og klikk deretter Neste . | ||||||
5 | På Velg en databehandlingsressurs -siden, velg måldataressursen, og klikk deretter Neste . Det kjøres en valideringskontroll. Når den er fullført, vises maldetaljene. | ||||||
6 | Kontroller maldetaljene, og klikk deretter på Neste . | ||||||
7 | Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon side, klikk 4 CPUer og klikk deretter Neste . | ||||||
8 | På Velg lagring side, klikk Neste for å godta standard diskformat og retningslinjer for VM-lagring. | ||||||
9 | På Velg nettverk -siden, velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til den virtuelle maskinen. | ||||||
10 | På Tilpass mal side, konfigurerer du følgende nettverksinnstillinger:
Hvis du foretrekker det, kan du hoppe over konfigurasjonen av nettverksinnstillinger og følge trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen for å konfigurere innstillingene fra nodekonsollen.
| ||||||
11 | Høyreklikk på den virtuelle noden, og velg deretter .Hybrid Data Security-programvaren installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden. Feilsøkingstips Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen ved første oppstart, der du ikke kan logge på. |
Konfigurer den virtuelle hybriddatasikkerhetsmaskinen
Bruk denne fremgangsmåten til å logge på VM-konsollen for Hybrid Data Security-noden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.
1 | I VMware vSphere-klienten velger du den virtuelle hybriddatasikkerhetsnoden og velger Konsoll -fanen. Den virtuelle maskinen starter opp, og det vises en påloggingsmelding. Hvis påloggingsmeldingen ikke vises, trykker du på Gå inn .
|
2 | Bruk følgende standard påloggingsinformasjon og passord for å logge på og endre legitimasjonen: Siden du logger på den virtuelle maskinen for første gang, må du endre administrator . |
3 | Hvis du allerede har konfigurert nettverksinnstillinger i Installer HDS Host OVA , hopper du over resten av denne prosedyren. Ellers velger du på hovedmeny Rediger konfigurasjon alternativet. |
4 | Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke. |
5 | (Valgfritt) Endre vertsnavnet, domenet eller NTP-server(e) om nødvendig for å samsvare med nettverkspolicyen din. Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet. |
6 | Lagre nettverkskonfigurasjon og start den virtuelle maskinen på nytt slik at endringene trer i kraft. |
Last opp og monter HDS-konfigurasjons-ISO
Før du starter
Siden ISO-filen inneholder hovednøkkelen, bør den bare vises på en «trenger å vite»-basis, for tilgang for de virtuelle hybriddatasikkerhets-ene og alle administratorer som måtte trenge å gjøre endringer. Kontroller at bare disse administratorene har tilgang til datalageret.
1 | Last opp ISO-filen fra datamaskinen: |
2 | Monter ISO-filen: |
Hva nå?
Hvis IT-retningslinjene krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene dine har registrert konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.
Konfigurere HDS-noden for proxy-integrasjon
Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybriddatasikkerhet. Hvis du velger en gjennomsiktig inspeksjonsproxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet og feilsøke eventuelle problemer.
Før du starter
Se Proxy-støtte hvis du vil ha en oversikt over proxy-alternativene som støttes.
1 | Angi URL-adressen til oppsett av HDS-node |
2 | Gå til Klareringslager og proxy, og velg deretter et alternativ:
Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en HTTP-eksplisitt proxy med enkel godkjenning eller en eksplisitt HTTPS-proxy. |
3 | Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen. Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på vinkeltegnpilen ved navnet på sertifikatutstederen for å få flere detaljer, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt. |
4 | Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen. Hvis tilkoblingstesten mislykkes, ser du en feilmelding som viser årsaken og hvordan du kan løse problemet. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne betingelsen forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene, og deretter ser du Slå av blokkert ekstern DNS-oppløsningsmodus . |
5 | Etter at tilkoblingstesten blir bestått, kun for eksplisitt proxy satt til https, setter du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen trer i kraft etter 15 sekunder. |
6 | Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en HTTP-eksplisitt proxy), les ledeteksten, og klikk deretter på Installer hvis du er klar. Noden starter på nytt i løpet av noen få minutter. |
7 | Når noden har startet på nytt, logger du på igjen om nødvendig, og deretter åpner du Oversikt-siden for å kontrollere tilkoblingskontrollene for å sikre at alle har grønn status. Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det oppstår tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen. |
Registrer den første noden i klyngen
Når du registrerer den første noden, oppretter du en klynge som noden er tilordnet. En klynge inneholder én eller flere noder distribuert for å gi redundans.
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Logg på https://admin.webex.com. |
2 | Fra menyen på venstre side av skjermen velger du Tjenester . |
3 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Konfigurer . Siden Registrer hybrid node for datasikkerhet vises.
|
4 | Velg Ja for å indikere at du har satt opp noden og er klar til å registrere den, og klikk deretter på Neste . |
5 | I det første feltet skriver du inn et navn på klyngen du vil tilordne Hybrid Data Security-noden til. Vi anbefaler at du gir navn til en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: «San Francisco» eller «New York» eller «Dallas» |
6 | I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste . Denne IP-adresse eller FQDN må samsvare med IP-adresse eller vertsnavnet og domenet du brukte i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . Det vises en melding som angir at du kan registrere noden til Webex.
|
7 | Klikk på Gå til Node . |
8 | Klikk på Fortsett i advarselsmelding. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til Webex-organisasjonen din for å få tilgang til noden.
|
9 | Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett . Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
|
10 | Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden. På Hybrid datasikkerhet side, vises den nye klyngen som inneholder noden du registrerte. Noden vil automatisk laste ned den nyeste programvaren fra skyen.
|
Opprett og registrer flere noder
På dette tidspunktet er de virtuelle sikkerhetskopiene-ene du opprettet i Fullfør forutsetningene for hybrid datasikkerhet er standby-verter som bare brukes i tilfelle katastrofegjenoppretting; de er ikke registrert i systemet før da. Hvis du vil ha mer informasjon, se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus . |
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA . |
2 | Konfigurer den første konfigurasjonen på den nye virtuelle maskinen, og gjenta trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . |
3 | Gjenta trinnene i den nye VM-en Last opp og monter HDS-konfigurasjons-ISO . |
4 | Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrering etter behov for den nye noden. |
5 | Registrer noden. Noden din er registrert. Merk at frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.
|
Hva nå?
Oppgaveflyt fra prøveversjon til produksjon
Når du har konfigurert en Hybrid Data Security-klynge, kan du starte en pilot, legge til brukere i den og begynne å bruke den til testing og bekreftelse av distribusjonen som forberedelse til overgang til produksjon.
Før du starter
1 | Hvis det er aktuelt, synkroniserer du Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge |
2 |
Start en prøveversjon. Frem til du gjør denne oppgaven, genererer nodene en alarm som indikerer at tjenesten ennå ikke er aktivert. |
3 | Test hybriddistribusjonen av datasikkerhet Kontroller at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen. |
4 | Overvåke helse for hybrid datasikkerhet Sjekk status, og konfigurer e-postvarsler for alarmer. |
5 | |
6 | Fullfør prøveperioden med én av følgende handlinger: |
Aktiver prøveversjon
Før du starter
Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup
gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.
1 | Logg påhttps://admin.webex.com , og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Start prøveversjonen . Tjenestestatusen endres til prøveversjonsmodus.
|
4 | Klikk på Legg til brukere og angi e-postadresse til én eller flere brukere for å prøve å bruke Hybrid Data Security-nodene for kryptering og indekseringstjenester. (Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory til å administrere prøvegruppen, |
Test hybriddistribusjonen av datasikkerhet
Før du starter
Konfigurer Hybrid Data Security-distribusjonen.
Aktiver prøveversjonen, og legg til flere prøveversjonsbrukere.
Kontroller at du har tilgang til syslog for å bekrefte at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.
1 | Taster for et gitt område angis av oppretteren av området. Logg på Webex-appen som én av pilotbrukerne, og opprett deretter et område og inviter minst én pilotbruker og én ikke-pilotbruker.
| ||
2 | Send meldinger til det nye området. | ||
3 | Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til Hybrid Data Security-distribusjonen. |
Overvåke helse for hybrid datasikkerhet
1 | I Kontrollhub , velger du Tjenester fra menyen på venstre side av skjermen. |
2 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Innstillinger . Siden Innstillinger for hybrid datasikkerhet vises.
|
3 | I delen E-postvarsler skriver du inn én eller flere e-postadresser atskilt med komma, og trykker på Gå inn . |
Legg til eller fjern brukere fra prøveversjonen
Hvis du fjerner en bruker fra prøveversjonen, vil brukerens klient be om å opprette nøkler og nøkler fra KMS-skyen i stedet for KMS-en din. Hvis klienten trenger en nøkkel som er lagret på KMS-en, vil KMS-en i skyen hente den på brukerens vegne.
Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory (i stedet for denne prosedyren) til å administrere prøvegruppen, HdsTrialGroup
; du kan vise gruppemedlemmene i Control Hub, men kan ikke legge til eller fjerne dem.
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Prøvemodus i området Tjenestestatus klikker du på Legg til brukere , eller klikk vise og redigere for å fjerne brukere fra prøveversjonen. |
4 | Skriv inn e-postadresse til én eller flere brukere som skal legges til, eller klikk på X av en bruker-ID for å fjerne brukeren fra prøveversjonen. Klikk deretter på Lagre. |
Gå fra prøveversjon til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Flytt til produksjon . |
4 | Bekreft at du vil flytte alle brukerne til produksjon. |
Avslutt prøveversjonen uten å gå til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I Deaktiver-delen klikker du på Deaktiver . |
4 | Bekreft at du vil deaktivere tjenesten og avslutte prøveversjonen. |
Behandle HDS-distribusjon
Bruk oppgavene som er beskrevet her, til å administrere Hybrid Data Security-distribusjonen.
Angi tidsplan for klyngeoppgradering
Slik angir du oppgraderingsplanen:
1 | Logg på Kontrollhub . |
2 | På Oversikt-siden, under Hybridtjenester, velger du Hybrid datasikkerhet . |
3 | Velg klyngen på siden Hybriddatasikkerhetsressurser. |
4 | I Oversikt-panelet til høyre, under Klyngeinnstillinger, velger du klyngenavnet. |
5 | På Innstillinger-siden, under Oppgradering, velger du tid og tidssone for oppgraderingsplanen. Merk: Under tidssone vises dato og klokkeslett for neste tilgjengelige oppgradering. Du kan om nødvendig utsette oppgraderingen til neste dag ved å klikke på Utsette . |
Endre nodekonfigurasjonen
Endring av x.509-sertifikater på grunn av utløpsdato eller andre årsaker.
Vi støtter ikke endring av CN- domenenavn for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.
Oppdaterer databaseinnstillinger for å endre til en replika av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt vei. Hvis du vil bytte databasemiljø, starter du en ny distribusjon av Hybrid Data Security.
Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.
Av sikkerhetsmessige årsaker bruker Hybriddata-sikkerhet passord som har en levetid på ni måneder på tjenestekontoer. HDS-installasjonsverktøyet genererer disse passordene, og du distribuerer dem til hver av HDS-nodene dine som en del av ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløp, mottar du et «Varsel om utløp av passord» fra Webex-teamet, der du blir bedt om å tilbakestille passordet for maskinkontoen. (E-posten inneholder teksten «Bruk maskinkontoens API til å oppdatere passordet.») Hvis passordene ikke er utløpt ennå, gir verktøyet deg to alternativer:
Myk tilbakestilling – Det gamle og det nye passordet fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.
Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.
Hvis passordene dine utløper uten en tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.
Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du henter opp Docker-beholderen i 1.e . Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO-en inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO-en når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i autorisasjonspolicy.
1 | Kjør HDS-konfigureringsverktøyet via Docker på en lokal maskin. |
2 | Hvis du kun kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den via den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, se Opprett og registrer flere noder . |
3 | For eksisterende HDS-noder som kjører den eldre konfigurasjonsfil, monterer du ISO-filen. Utfør følgende prosedyre på hver node etter tur, og oppdater hver node før du slår av neste node: |
4 | Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen. |
Deaktiver blokkert ekstern DNS-oppløsningsmodus
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modusen blokkert ekstern DNS-oppløsning.
Hvis nodene kan løse offentlige DNS-navn via interne DNS-servere, kan du deaktivere denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.
Før du starter
1 | Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/-oppsett, for eksempel https://192.0.2.0/setup),angi administratorlegitimasjonen du konfigurerte for noden, og klikk deretter på Logg på. |
2 | Gå til Oversikt (standardsiden). Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja. |
3 | Gå til siden Klareringslager og proxy. |
4 | Klikk på Kontroller proxy-tilkobling. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og den vil forbli i denne modusen. Ellers, etter at du har startet noden på nytt og gått tilbake til Oversikt-siden, bør Blokkert ekstern DNS-oppløsning settes til Nei. |
Hva nå?
Fjerne en node
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuell maskin. |
2 | Fjern noden: |
3 | Slett den virtuelle maskinen i vSphere-klienten. (I venstre navigasjonsrute høyreklikk du på den virtuelle maskinen og klikker Slett .) Hvis du ikke sletter den virtuelle maskinen, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke den virtuelle maskinen til å få tilgang til sikkerhetsdataene dine. |
Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus
Den mest kritiske tjenesten Hybrid Data Security-klyngen tilbyr, er opprettelse og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet Hybrid Data Security, rutes nye forespørsler om å opprette nøkkel til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til alle brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.
Siden klyngen utfører den kritiske funksjonen med å oppgi disse nøklene, er det viktig at klyngen fortsetter å kjøre og at forsvarlige sikkerhetskopier opprettholdes. Tap av Hybrid Data Security-databasen eller av ISO-konfigurasjonen som ble brukt for skjemaet, vil føre til TAP av kundeinnhold som ikke kan gjenopprettes. Følgende fremgangsmåter er obligatoriske for å forhindre slikt tap:
Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenter blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til datasenter i ventemodus.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene . | ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor eller fjerner
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
(Valgfritt) Avmonter ISO etter HDS-konfigurasjon
Standard HDS-konfigurasjonen kjører med ISO-en montert. Men noen kunder foretrekker å ikke la ISO-filer være kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-noder har plukket opp den nye konfigurasjonen.
Du bruker fortsatt ISO-filene til å gjøre konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO via installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene dine har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en på nytt med denne prosedyren.
Før du starter
Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.
1 | Avslutt én av HDS-nodene dine. |
2 | I vCenter Server Appliance velger du HDS-noden. |
3 | Velg ISO-fil for datalager . og fjern merket |
4 | Slå på HDS-noden og kontroller at det ikke er noen alarmer på minst 20 minutter. |
5 | Gjenta for hver HDS-node etter tur. |
Vis varsler og feilsøking
En Hybrid Data Security-distribusjon anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller hvis klyngen fungerer så sakte at forespørslene tidsavbrudd. Hvis brukere ikke kan nå Hybrid Data Security-klyngen, opplever de følgende symptomer:
Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)
Meldinger og områdetitler kan ikke dekrypteres for:
Nye brukere lagt til i et område (kan ikke hente nøkler)
Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)
Eksisterende brukere i et område fortsetter å kjøre så lenge klientene deres har en hurtigbuffer for krypteringsnøklene
Det er viktig at du overvåker Hybrid Data Security-klyngen på riktig måte og adresserer alle varsler umiddelbart for å unngå avbrudd i tjenesten.
Varsler
Hvis det er et problem med oppsettet av Hybrid Data Security, viser Control Hub varsler til administrator og sender e-postmeldinger til den konfigurerte e-postadresse. Varslene dekker mange vanlige scenarier.
Varsel | Handling |
---|---|
Feil ved tilgang til lokal database. |
Se etter databasefeil eller problemer med det lokale nettverket. |
tilkoblingsfeil til lokal database. |
Kontroller at databaseserver er tilgjengelig, og at riktig påloggingsinformasjon for tjenestekonto ble brukt i nodekonfigurasjonen. |
Tilgangsfeil for skytjeneste. |
Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling . |
Fornyer registrering av skytjeneste. |
Registrering for skytjenester ble avbrutt. Fornyelse av registrering pågår. |
Registrering av skytjeneste ble avbrutt. |
Registreringen til skytjenester ble avsluttet. Tjenesten avsluttes. |
Tjenesten ikke aktivert ennå. |
Aktiver en prøveversjon, eller fullfør flyttingen av prøveversjonen til produksjon. |
Det konfigurerte domenet samsvarer ikke med serversertifikat. |
Kontroller at serversertifikat samsvarer med det konfigurerte domenet for tjenesteaktivering. Den mest sannsynlige årsaken er at sertifikatet CN nylig ble endret og nå er forskjellig fra CN som ble brukt under det første oppsettet. |
Kunne ikke autentisere for skytjenester. |
Se etter nøyaktighet og mulig utløp av legitimasjon for tjenestekonto . |
Kunne ikke åpne den lokale nøkkellagerfilen. |
Se etter integritet og passordnøyaktighet i den lokale nøkkellagerfilen. |
Det lokale serversertifikat er ugyldig. |
Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans. |
Kan ikke legge inn beregninger. |
Sjekk lokal nettverkstilgang til eksterne skytjenester. |
Katalogen /media/configdrive/hds finnes ikke. |
Kontroller konfigurasjonen for ISO-montering på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å montere ved omstart, og at den er vellykket. |
Feilsøke hybrid datasikkerhet
1 | Se gjennom Control Hub for å se eventuelle varsler, og reparer alle elementer du finner der. |
2 | Se gjennom syslog-serverutdataene for aktivitet fra Hybrid Data Security-distribusjonen. |
3 | Kontakt Cisco-støtte . |
Kjente problemer med hybrid datasikkerhet
Hvis du avslutter Hybrid Data Security-klyngen (ved å slette den i Control Hub eller ved å avslutte alle noder), mister ISO-konfigurasjonsfilen eller mister tilgangen til nøkkellagerdatabasen, kan brukerne av Webex-appen ikke lenger bruke områder under Personene sine liste som ble opprettet med nøkler fra KMS. Dette gjelder både prøveversjon og produksjonsdistribusjoner. Vi har for øyeblikket ingen løsning eller løsning for dette problemet, og vi ber deg innstendig om ikke å avslutte HDS-tjenestene dine når de håndterer aktive brukerkontoer.
En klient som har en eksisterende ECDH-tilkobling til en KMS, opprettholder denne tilkoblingen i en periode (sannsynligvis én time). Når en bruker blir medlem av en prøveversjon av Hybrid Data Security, fortsetter brukerens klient å bruke den eksisterende ECDH-tilkoblingen frem til tidsavbrudd. Alternativt kan brukeren logge av og på igjen Webex-appen for å oppdatere plasseringen appen kontakter for krypteringsnøkler.
Den samme virkemåten oppstår når du flytter en prøveversjon til produksjon for organisasjonen. Alle ikke-prøvebrukere med eksisterende ECDH-tilkoblinger til de tidligere datasikkerhetstjenestene vil fortsette å bruke disse tjenestene til ECDH-tilkoblingen reforhandles (gjennom tidsavbrudd eller ved å logge av og på igjen).
Bruk OpenSSL til å generere en PKCS12-fil
Før du starter
OpenSSL er ett verktøy som kan brukes til å gjøre PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi hverken støtter eller promoterer én måte fremfor en annen.
Hvis du velger å bruke OpenSSL, tilbyr vi denne fremgangsmåten som en retningslinje for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i Krav til X.509-sertifikater . Forstå disse kravene før du fortsetter.
Installer OpenSSL i et støttet miljø. Sehttps://www.openssl.org for programvaren og dokumentasjonen.
Opprett en privat nøkkel.
Start denne prosedyren når du mottar serversertifikat fra sertifiseringsinstans (CA).
1 | Når du mottar serversertifikat fra CA, lagrer du det som |
2 | Vis sertifikatet som tekst, og bekreft detaljene.
|
3 | Bruk et tekstredigeringsprogram til å opprette en sertifikatpakkefil kalt
|
4 | Opprett .p12-filen med det vennlige navnet
|
5 | Kontroller serversertifikat . |
Hva nå?
Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet . Du vil bruke hdsnode.p12
filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-vertene .
Du kan bruke disse filene på nytt til å be om et nytt sertifikat når det opprinnelige sertifikatet utløper. |
Trafikk mellom HDS-nodene og skyen
Utgående trafikk for innsamling av beregninger
Hybriddatasikkerhetsnodene sender bestemte beregninger til Webex-skyen. Disse inkluderer systemmålinger for maks. haug, brukt haug, CPU-belastning og antall tråder. målinger for synkrone og asynkrone tråder; målinger for varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller en forespørselskølengde; målinger på datalageret; og måleverdier for krypteringstilkobling. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).
Innkommende trafikk
Hybriddatasikkerhetsnodene mottar følgende typer innkommende trafikk fra Webex-skyen:
Krypteringsforespørsler fra klienter, som rutes av krypteringstjenesten
Oppgraderinger til nodeprogramvaren
Konfigurer Squid-proxyer for hybrid datasikkerhet
Websocket kan ikke koble til via Squid-proxy
Squid-proxyer som inspiserer HTTPS-trafikk, kan forstyrre etableringen av websocket ( wss:
)-tilkoblinger som Hybrid Data Security krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss:
trafikk for riktig drift av tjenestene.
Squid 4 og 5
Legg til on_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi testet Hybrid Data Security med følgende regler lagt til squid.conf
. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Ny og endret informasjon
Dato | Endringer gjort | ||
---|---|---|---|
20. oktober 2023 |
| ||
7. august 2023 |
| ||
23. mai 2023 |
| ||
6. desember 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop må kjøre et installasjonsprogram før du kan installere HDS-noder. Se Krav til Docker-skrivebord . | ||
24. juni 2021 | Merk at du kan bruke den private nøkkelfilen og CSR-en på nytt for å be om et annet sertifikat. Se Bruk OpenSSL til å generere en PKCS12-fil for detaljer. | ||
30. april 2021 | Endret VM-kravet for lokal harddiskplass til 30 GB. Se Krav til virtuell vert for detaljer. | ||
24. februar 2021 | HDS-installasjonsverktøyet kan nå kjøres bak en proxy. Se Opprett en konfigurasjons-ISO for HDS-vertene for detaljer. | ||
2. februar 2021 | HDS kan nå kjøres uten en montert ISO-fil. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer. | ||
11. januar 2021 | Lagt til informasjon om HDS-oppsettverktøy og proxyer til Opprett en konfigurasjons-ISO for HDS-vertene . | ||
13. oktober 2020 | Oppdatert Last ned installasjonsfiler . | ||
8. oktober 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med kommandoer for FedRAMP-miljøer. | ||
14. august 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med endringer i påloggingsprosessen. | ||
5. august 2020 | Oppdatert Test hybriddistribusjonen av datasikkerhet for endringer i loggmeldinger. Oppdatert Krav til virtuell vert for å fjerne maksimalt antall verter. | ||
16. juni 2020 | Oppdatert Fjerne en node for endringer i Control Hub-grensesnittet. | ||
4. juni 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for endringer i de avanserte innstillingene du måtte angi. | ||
29. mai 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for å vise at du også kan bruke TLS med SQL Server-databaser, brukergrensesnittendringer og andre presiseringer. | ||
5. mai 2020 | Oppdatert Krav til virtuell vert for å vise nye krav til ESXi 6.5. | ||
21. april 2020 | Oppdatert Krav til ekstern tilkobling med nye Americas CI-verter. | ||
1. april 2020 | Oppdatert Krav til ekstern tilkobling med informasjon om regionale CI-verter. | ||
20. februar 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med informasjon om det nye, valgfrie skjermbildet for avanserte innstillinger i HDS-oppsettverktøyet. | ||
4. februar 2020 | Oppdatert Krav til proxy-server . | ||
16. desember 2019 | Klargjorde kravet om at blokkert ekstern DNS-oppløsningsmodus skal fungere i Krav til proxy-server . | ||
19. november 2019 | La til informasjon om blokkert ekstern DNS-oppløsningsmodus i følgende deler: | ||
8. november 2019 | Du kan nå konfigurere nettverksinnstillinger for en node mens du distribuerer OVA i stedet for etterpå. Oppdaterte følgende deler tilsvarende:
| ||
6. september 2019 | Lagt til SQL Server Standard i Krav til databaseserver . | ||
29. august 2019 | Lagt til Konfigurer Squid-proxyer for hybrid datasikkerhet vedlegg med veiledning om konfigurering av Squid-proxyer til å ignorere websocket-trafikk for riktig drift. | ||
20. august 2019 | Lagt til og oppdaterte deler for å dekke proxy-støtte for hybrid datasikkerhetsnodekommunikasjon til Webex-skyen. Hvis du bare vil ha tilgang til proxy-støtteinnholdet for en eksisterende distribusjon, kan du se Proxy-støtte for hybrid datasikkerhet og Webex-videonett hjelpeartikkel. | ||
13. juni 2019 | Oppdatert Oppgaveflyt fra prøveversjon til produksjon med en påminnelse om å synkronisere HdsTrialGroup gruppeobjekt før du starter en prøveversjon hvis organisasjonen bruker katalogsynkronisering. | ||
6. mars 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. mai 2018 | Endret terminologi for å gjenspeile endringen av varemerke for Cisco Spark:
| ||
11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
2. november 2017 |
| ||
18. august 2017 | Først publisert |
Oversikt over hybrid datasikkerhet
Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er ende-til-ende-kryptering av innhold, aktivert av Webex App-klienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografinøklene som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.
Som standard får alle Webex App-kunder ende-til-ende-kryptering med dynamiske nøkler lagret i KMS-skyen, i Ciscos sikkerhetsområde. Hybrid datasikkerhet flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, slik at ingen andre enn deg har nøklene til ditt krypterte innhold.
Arkitektur for sikkerhetsriket
Webex-skyarkitekturen skiller forskjellige typer tjenester i separate områder, eller klareringsdomener, som vist nedenfor.
For å forstå Hybrid Data Security ytterligere, la oss først se på dette rene skysaken, der Cisco leverer alle funksjoner i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan korreleres direkte med personlig informasjon, for eksempel e-postadresse, er logisk og fysisk atskilt fra sikkerhetsområdet i datasenter B. Begge er igjen atskilt fra området der kryptert innhold til slutt lagres , i datasenter C.
I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og som er autentisert med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:
Klienten oppretter en sikker tilkobling med nøkkelbehandlingstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikker tilkobling bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en AES-256-hovednøkkel.
Meldingen krypteres før den forlater klienten. Klienten sender den til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe til med fremtidige søk etter innholdet.
Den krypterte meldingen sendes til samsvarstjenesten for samsvarskontroll.
Den krypterte meldingen lagres i lagringsområdet.
Når du distribuerer Hybrid Data Security, flytter du sikkerhetsområdets funksjoner (KMS, indeksering og samsvar) til det lokale datasenter. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos riker.
Samarbeide med andre organisasjoner
Brukere i organisasjonen din kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen (fordi det ble opprettet av en av brukerne), sender KMS-en nøkkelen til klienten over en ECDH-sikker kanal. Når en annen organisasjon eier nøkkelen for området, ruter KMS-en imidlertid forespørselen ut til Webex-skyen gjennom en egen ECDH-kanal for å hente nøkkelen fra riktig KMS, og returnerer deretter nøkkelen til brukeren på den opprinnelige kanalen.
KMS-tjenesten som kjøres på organisasjon A, validerer tilkoblingene til KMS-er i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet ditt for detaljer om generering av et x.509-sertifikat som skal brukes med Hybrid Data Security-distribusjonen.
Forventninger for distribusjon av hybrid datasikkerhet
En Hybrid Data Security-distribusjon krever betydelig kundeengasjement og en bevissthet om risikoene som følger med å eie krypteringsnøkler.
Hvis du vil distribuere Hybrid Data Security, må du oppgi:
Et sikkert datasenter i et land som er et støttet plassering for Cisco Webex Teams planene .
Utstyret, programvaren og nettverkstilgangen som er beskrevet i Forbered miljøet ditt .
Fullstendig tap av enten konfigurasjons-ISO-en du bygger for Hybrid Data Security eller databasen du oppgir, vil føre til tap av nøklene. Tap av nøkkel forhindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:
Behandle sikkerhetskopieringen og gjenopprettingen av databasen og konfigurasjonen av ISO.
Vær forberedt på å utføre rask gjenoppretting ved katastrofegjenoppretting hvis det oppstår en katastrofe, for eksempel en databasediskfeil eller en datasenter .
Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon. |
Konfigurasjonsprosess på høyt nivå
Dette dokumentet dekker oppsett og administrasjon av en Hybrid Data Security-distribusjon:
Konfigurer Hybrid Data Security – Dette inkluderer klargjøring av nødvendig infrastruktur og installasjon av Hybrid Data Security-programvare, testing av distribusjonen med et undersett av brukere i prøveversjonsmodus, og, når testingen er fullført, overgang til produksjon. Dette konverterer hele organisasjonen til å bruke Hybrid Data Security-klyngen for sikkerhetsfunksjoner.
Oppsett-, prøve- og produksjonsfasene dekkes i detalj i de neste tre kapitlene.
Vedlikeholde Hybrid Data Security-distribusjonen – Webex-skyen gir automatisk løpende oppgraderinger. IT-avdelingen din kan tilby nivå 1-støtte for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke skjermvarsler og konfigurere e-postbaserte varsler i Control Hub.
Forstå vanlige varsler, feilsøkingstrinn og kjente problemer –Hvis du får problemer med å distribuere eller bruke Hybrid Data Security, kan det siste kapitlet i denne veiledningen og tillegget Kjente problemer hjelpe deg med å finne ut og løse problemet.
Hybrid distribusjonsmodell for datasikkerhet
I foretningsdata distribuerer du Hybrid Data Security som én enkelt klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen gjennom sikre websockets og sikker HTTP.
Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere den virtuelle enheten på de virtuelle maskinene du oppgir. Du bruker installasjonsverktøyet for HDS til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Hybrid Data Security-klyngen bruker den medfølgende Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)
Det minste antallet noder du kan ha i en klynge, er to. Vi anbefaler minst tre, og du kan ha opptil fem. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)
Alle nodene i en klynge har tilgang til det samme nøkkeldatalageret og loggaktiviteten til den samme syslog-serveren. Nodene i seg selv er statsløse og håndterer nøkkelforespørsler på en roundrobin-måte, som anvist av skyen.
Nodene blir aktive når du registrerer dem i Control Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.
Vi støtter bare én klynge per organisasjon.
Prøveversjonsmodus for hybrid datasikkerhet
Etter at du har satt opp en Hybrid Data Security-distribusjon, kan du først prøve den med et sett med pilotbrukere. I løpet av prøveperioden bruker disse brukerne det lokale Hybrid Data Security-domenet ditt for krypteringsnøkler og andre sikkerhetstjenester. De andre brukerne dine fortsetter å bruke sikkerhetsområdet for skyen.
Hvis du bestemmer deg for ikke å fortsette med distribusjonen i løpet av prøveperioden og deaktivere tjenesten, mister pilotbrukerne og alle brukere de har samhandlet med ved å opprette nye områder i løpet av prøveperioden tilgangen til meldingene og innholdet. De vil se «Denne meldingen kan ikke dekrypteres» i Webex-appen.
Hvis du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, og du er klar til å utvide Hybrid Data Security til alle brukerne, flytter du distribusjonen til produksjon. Pilotbrukere fortsetter å ha tilgang til nøklene som var i bruk under prøveversjonen. Du kan imidlertid ikke gå frem og tilbake mellom produksjonsmodus og den opprinnelige prøveversjonen. Hvis du må deaktivere tjenesten, for eksempel for å utføre katastrofegjenoppretting, må du starte en ny prøveversjon og konfigurere settet med pilotbrukere for den nye prøveversjonen før du går tilbake til produksjonsmodus når du aktiverer den. Hvorvidt brukere beholder tilgangen til data på dette tidspunktet, avhenger av om du har vedlikeholdt sikkerhetskopier av datalager og ISO konfigurasjonsfil for Hybrid Data Security-nodene i klyngen.
Datasenter i ventemodus for katastrofegjenoppretting
Under distribusjonen konfigurerer du et sikkert datasenter i ventemodus . I tilfelle en datasenter , kan du feile distribusjonen manuelt over til datasenter i ventemodus .
Databasene til det aktive datasenteret og datasenteret i ventemodus er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover. ISO-filen til datasenter for ventemodus oppdateres med flere konfigurasjoner som sikrer at nodene registreres i organisasjonen, men ikke håndterer trafikk. Derfor forblir nodene i standby datasenter alltid oppdatert med den nyeste versjonen av HDS-programvaren.
De aktive hybriddatasikkerhetsnodene må alltid være i samme datasenter som den aktive databaseserver. |
Konfigurere datasenter i ventemodus for katastrofegjenoppretting
Følg trinnene nedenfor for å konfigurere ISO-filen for datasenter i ventemodus:
Før du starter
datasenter i ventemodus skal speile produksjonsmiljøet til virtuelle maskiner og en sikkerhetskopi av PostgreSQL- eller Microsoft SQL Server-database. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. (Se Datasenter i ventemodus for katastrofegjenoppretting for en oversikt over denne failover-modellen.)
Kontroller at databasesynkronisering er aktivert mellom databasen med aktive og passive klyngenoder.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .
| ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor for å plassere noden i passiv modus. I denne modusen vil noden være registrert i organisasjonen og koblet til skyen, men vil ikke håndtere trafikk.
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
Etter konfigurering passiveMode
i ISO-filen og lagrer den, kan du opprette en annen kopi av ISO-filen uten passiveMode
konfigurasjonen og lagre den på et sikkert sted. Denne kopien av ISO-filen uten passiveMode
konfigurert kan hjelpe i en rask failover-prosess under katastrofegjenoppretting. Se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus for den detaljerte failover-prosedyren.
Proxy-støtte
Hybriddatasikkerhet støtter eksplisitte, gjennomsiktige proxyer for inspeksjon og ikke-inspeksjon. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et grensesnitt for plattformadministrasjon på nodene for sertifikatadministrasjon og kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.
Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:
Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Klareringslager og proxy-konfigurasjon til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig ikke-inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse, og bør ikke trenge endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig tunnelering eller inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjon er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de klarerer proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer om hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og hvilken godkjenningsplan som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon for hver node:
Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.
Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.
Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:
HTTP – Viser og kontrollerer alle forespørsler som klienten sender.
HTTPS – Gir en kanal til serveren. Klienten mottar og godkjenner serverens sertifikat.
Godkjenningstype – Velg blant følgende godkjenningstyper:
Ingen – Ingen ytterligere godkjenning er nødvendig.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Grunnleggende – Brukes for en HTTP-brukeragent til å angi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.
Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Eksempel på noder og proxy for hybriddatasikkerhet
Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og HTTPS eksplisitt inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.
Blokkert ekstern DNS-oppløsningsmodus (eksplisitt proxy-konfigurasjoner)
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsningsmodus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.
Krav for hybrid datasikkerhet
Lisenskrav for Cisco Webex
Slik distribuerer du hybrid datasikkerhet:
Du må ha Pro Pack for Cisco Webex Control Hub. (Sehttps://www.cisco.com/go/pro-pack .)
Krav til Docker-skrivebord
Før du installerer HDS-nodene, må du ha Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig lisensieringsmodellen. Organisasjonen din kan kreve et betalt abonnement for Docker Desktop. Hvis du vil ha mer informasjon, se Docker-blogginnlegget, « Docker oppdaterer og utvider produktabonnementene våre «.
Krav til X.509-sertifikater
sertifikatkjede må oppfylle følgende krav:
Krav | Detaljer |
---|---|
| Som standard klarerer vi sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) påhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN-en trenger ikke å være tilgjengelig eller være en direktevert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel CN kan ikke inneholde en * (jokertegn). CN brukes til å bekrefte hybriddatasikkerhetsnodene til Webex App-klienter. Alle hybriddatasikkerhetsnodene i klyngen bruker det samme sertifikatet. KMS-en din identifiserer seg ved hjelp av CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene. Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN- domenenavn. Velg et domene som kan gjelde for både prøveversjonen og produksjonsdistribusjonene. |
| KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjoners KMS-er. |
| Du kan bruke et konverteringsprogram som OpenSSL til å endre sertifikatets format. Du må angi passordet når du kjører HDS-installasjonsverktøyet. |
KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifiseringsinstanser krever at utvidede begrensninger for nøkkelbruk brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.
Krav til virtuell vert
De virtuelle vertene som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen, har følgende krav:
Minst to separate verter (tre anbefales) plassert i det samme sikre datasenter
VMware ESXi 6.5 (eller nyere) er installert og kjører.
Du må oppgradere hvis du har en tidligere versjon av ESXi.
Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokal harddiskplass per server
Krav til databaseserver
Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene, når de er installert, oppretter databaseskjemaet. |
Det finnes to alternativer for databaseserver. Kravene for hver av dem er som følger:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) | Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) |
HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserver:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC-driver 42.2.5 | SQL Server JDBC-driver 4.6 Denne driverversjonen støtter SQL Server Always On ( Alltid på failover-klyngeforekomster og Alltid på tilgjengelighetsgrupper ). |
Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server
Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:
HDS-nodene, Active Directory -infrastrukturen og MS SQL Server må alle være synkronisert med NTP.
Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.
DNS-serverne du oppgir til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).
Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et Service Principal Name (SPN) i Active Directory. Se Registrer et hovednavn for tjeneste for Kerberos Connections .
HDS-oppsettverktøyet, HDS-startprogrammet og lokal KMS må alle bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN når de ber om tilgang med Kerberos-autentisering.
Krav til ekstern tilkobling
Konfigurer brannmuren til å tillate følgende tilkoblingsmuligheter for HDS-programmene:
Applikasjon | Protokoll | Port | Veibeskrivelse fra app | Destinasjon |
---|---|---|---|---|
Hybride datasikkerhetsnoder | TCP | 443 | Utgående HTTPS og WSS |
|
HDS-oppsettverktøy | TCP | 443 | Utgående HTTPS |
|
Hybrid Data Security-nodene fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmur tillater de nødvendige utgående tilkoblingene til domenemålene i den foregående tabellen. For tilkoblinger som går inn til Hybrid Data Security-nodene, skal ingen porter være synlige fra Internett. I datasenter ditt trenger klienter tilgang til hybriddatasikkerhetsnodene på TCP-portene 443 og 22 til administrative formål. |
URL-adressene for CI-vertene (Common Identity) er regionsspesifikke. Dette er de nåværende CI-vertene:
Region | Felles URL-adresser for vertsidentitet |
---|---|
Nord- og Sør-Amerika |
|
Den europeiske union |
|
Canada |
|
Krav til proxy-server
Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene dine for hybriddatasikkerhet.
Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).
Eksplisitt proxy – Squid.
Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av WebSocket (wss:) tilkoblinger. Hvis du vil omgå dette problemet, kan du se Konfigurer Squid-proxyer for hybrid datasikkerhet .
Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:
Ingen godkjenning med HTTP eller HTTPS
Enkel godkjenning med HTTP eller HTTPS
Sammendragsgodkjenning kun med HTTPS
Hvis du vil ha en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne håndboken beskriver hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnoder.
Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.
Proxyer som inspiserer nettrafikk, kan forstyrre WebSocket-tilkoblinger. Hvis dette problemet oppstår, kan du omgå (ikke inspisere) trafikk til
wbx2.com
ogciscospark.com
vil løse problemet.
Fullfør forutsetningene for hybrid datasikkerhet
1 | Kontroller at Webex-organisasjonen din er aktivert for Pro Pack for Cisco Webex Control Hub, og få legitimasjonen til en konto med fulle administrator . Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen. | ||
2 | Velg et domenenavn for HDS-distribusjonen (for eksempel | ||
3 | Klargjør identiske virtuelle verter som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen. Du trenger minst to separate verter (tre anbefales) plassert i det samme sikre datasenter, som oppfyller kravene i Krav til virtuell vert . | ||
4 | Klargjør databaseserver som skal fungere som datalager for klyngen, i henhold til Krav til databaseserver . databaseserver må være lokalisert i det sikre datasenter med de virtuelle vertene. | ||
5 | Hvis du vil ha rask gjenoppretting ved katastrofegjenoppretting, konfigurerer du et sikkerhetskopimiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet for virtuelle datamaskiner og en databaseserver. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. | ||
6 | Konfigurer en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadresse og syslog-porten (standard er UDP 514). | ||
7 | Opprett en sikker sikkerhetskopieringspolicy for Hybrid Data Security-nodene, databaseserver og syslog-verten. For å forhindre tap av ugjenopprettelig data må du som et minimum sikkerhetskopiere databasen og ISO-konfigurasjonsfilen som er generert for Hybrid Data Security-nodene.
Webex App-klienter hurtigbufrer nøklene sine, så et driftsbrudd vil kanskje ikke merkes umiddelbart, men vil bli tydelig over tid. Selv om midlertidige strømbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopier tilgjengelig) av enten databasen eller ISO-konfigurasjonsfilen vil imidlertid føre til kundedata som ikke kan gjenopprettes. Operatørene av Hybrid Data Security-nodene forventes å opprettholde hyppige sikkerhetskopier av databasen og ISO-konfigurasjonsfilen, og være forberedt på å gjenoppbygge Hybrid Data Security datasenter hvis det oppstår en katastrofal feil. | ||
8 | Kontroller at brannmurkonfigurasjonen tillater tilkobling for Hybrid Data Security-nodene som angitt i Krav til ekstern tilkobling . | ||
9 | Installer Docker (https://www.docker.com ) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til den på http://127.0.0.1:8080. Du bruker Docker-forekomsten til å laste ned og kjøre installasjonsverktøyet for HDS, som bygger den lokale konfigurasjonsinformasjon for alle Hybrid Data Security-nodene. Organisasjonen din kan trenge en Docker Desktop-lisens. Se Krav til Docker-skrivebord hvis du vil ha mer informasjon. Hvis du vil installere og kjøre HDS-installasjonsverktøyet, må den lokale maskinen ha tilkoblingsmulighetene som er angitt i Krav til ekstern tilkobling . | ||
10 | Hvis du integrerer en proxy med Hybrid Data Security, må du kontrollere at den oppfyller Krav til proxy-server . | ||
11 | Hvis organisasjonen din bruker katalogsynkronisering, oppretter du en gruppe i Active Directory som heter
|
Oppgaveflyt for distribusjon av hybrid datasikkerhet
Før du starter
1 |
Last ned OVA-filen til din lokale maskin for senere bruk. | ||
2 | Opprett en konfigurasjons-ISO for HDS-vertene Bruk HDS-oppsettverktøyet til å opprette en ISO konfigurasjonsfil for hybriddatasikkerhetsnodene. | ||
3 |
Opprett en virtuell maskin fra OVA-filen og utfør den første konfigurasjonen, for eksempel nettverksinnstillinger.
| ||
4 | Konfigurer den virtuelle hybriddatasikkerhetsmaskinen Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon. | ||
5 | Last opp og monter HDS-konfigurasjons-ISO Konfigurer den virtuelle maskinen fra ISO konfigurasjonsfil du opprettet med HDS-installasjonsverktøyet. | ||
6 | Konfigurere HDS-noden for proxy-integrasjon Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du proxy-typen du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig. | ||
7 | Registrer den første noden i klyngen Registrer den virtuelle maskinen med Cisco Webex skyen som en hybrid datasikkerhetsnode. | ||
8 | Opprett og registrer flere noder Fullfør klyngeoppsettet. | ||
9 | Kjør en prøveversjon og gå til produksjon (neste kapittel) Frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert. |
Last ned installasjonsfiler
1 | Logg påhttps://admin.webex.com , og klikk deretter Tjenester . | ||||
2 | Finn Hybrid Data Security-kortet under Hybridtjenester, og klikk deretter på Konfigurer . Hvis kortet er deaktivert eller du ikke ser det, kontakter du kontoteamet ditt eller partnerorganisasjonen din. Gi dem kontonummeret ditt, og be om å aktivere organisasjonen din for Hybrid Data Security. Hvis du vil finne kontonummeret, klikker du på tannhjulet øverst til høyre, ved siden av organisasjonsnavnet.
| ||||
3 | Velg Nei for å indikere at du ikke har satt opp noden ennå, og klikk deretter på Neste . Nedlastingen av OVA-filen begynner automatisk. Lagre filen et sted på maskinen.
| ||||
4 | Du kan også klikke på Åpne Distribusjonsveiledning for å sjekke om det finnes en nyere versjon av denne veiledningen. |
Opprett en konfigurasjons-ISO for HDS-vertene
Konfigurasjonsprosessen for Hybrid Data Security oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere Hybrid Data Security-verten.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariabler når du henter frem Docker-beholderen i trinn 5 . Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen når du gjør konfigurasjonsendringer, for eksempel disse:
Databaselegitimasjon
Sertifikatoppdateringer
Endringer i retningslinjene for autorisasjon
Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du PostgreSQL- eller SQL Server-distribusjonen for TLS.
1 | På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende:
| ||||||||||||
3 | Når du blir bedt om passord, skriver du inn denne hashen:
| ||||||||||||
4 | Last ned det nyeste stabile bildet for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:
Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080». | ||||||||||||
6 |
Bruk en nettleser til å gå til den lokale verten, Verktøyet bruker denne første oppføringen i brukernavnet til å angi riktig miljø for den kontoen. Verktøyet viser deretter standard påloggingsmelding. | ||||||||||||
7 | Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Control Hub-kundeadministratoren, og klikker deretter på Logg inn for å gi tilgang til de nødvendige tjenestene for Hybrid Data Security. | ||||||||||||
8 | På oversiktssiden for installasjonsverktøy klikker du på Kom i gang . | ||||||||||||
9 | På ISO-import side, har du disse alternativene:
| ||||||||||||
10 | Kontroller at X.509-sertifikatet oppfyller kravene i Krav til X.509-sertifikater .
| ||||||||||||
11 | Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret: | ||||||||||||
12 | Velg en Tilkoblingsmodus for TLS-database :
Når du laster opp rotsertifikat (om nødvendig), og klikker Fortsett tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserver. Verktøyet bekrefter også sertifikatunderskriveren og vertsnavnet, hvis det er aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan det hende at HDS-nodene kan opprette TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.) | ||||||||||||
13 | Konfigurer Syslogd-serveren på siden Systemlogger: | ||||||||||||
14 | (Valgfritt) Du kan endre standardverdi for noen databasetilkoblingsparametere i Avanserte innstillinger . Vanligvis er denne parameteren den eneste du kanskje vil endre:
| ||||||||||||
15 | Klikk på Fortsett på Tilbakestill passordet for tjenestekontoer skjermen. Passord for tjenestekontoer har en levetid på ni måneder. Bruk denne skjermen når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem for å ugyldiggjøre tidligere ISO-filer. | ||||||||||||
16 | Klikk på Last ned ISO-fil . Lagre filen på et sted som er lett å finne. | ||||||||||||
17 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||||||||||||
18 | Hvis du vil avslutte konfigureringsverktøyet, skriver du inn |
Hva nå?
Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.
Vi har aldri en kopi av denne nøkkelen, og kan ikke hjelpe hvis du mister den. |
Installer HDS Host OVA
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten. | ||||||
2 | Velg Fil > Distribuer OVF-mal . | ||||||
3 | Angi plasseringen av OVA-filen du lastet ned tidligere i veiviseren, og klikk deretter på Neste . | ||||||
4 | På Velg et navn og en mappe side, skriver du inn en Navn på virtuell maskin for noden (for eksempel «HDS_ Node_ 1"), velg et sted der nodedistribusjonen for den virtuell maskin kan ligge, og klikk deretter Neste . | ||||||
5 | På Velg en databehandlingsressurs -siden, velg måldataressursen, og klikk deretter Neste . Det kjøres en valideringskontroll. Når den er fullført, vises maldetaljene. | ||||||
6 | Kontroller maldetaljene, og klikk deretter på Neste . | ||||||
7 | Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon side, klikk 4 CPUer og klikk deretter Neste . | ||||||
8 | På Velg lagring side, klikk Neste for å godta standard diskformat og retningslinjer for VM-lagring. | ||||||
9 | På Velg nettverk -siden, velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til den virtuelle maskinen. | ||||||
10 | På Tilpass mal side, konfigurerer du følgende nettverksinnstillinger:
Hvis du foretrekker det, kan du hoppe over konfigurasjonen av nettverksinnstillinger og følge trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen for å konfigurere innstillingene fra nodekonsollen.
| ||||||
11 | Høyreklikk på den virtuelle noden, og velg deretter .Hybrid Data Security-programvaren installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden. Feilsøkingstips Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen ved første oppstart, der du ikke kan logge på. |
Konfigurer den virtuelle hybriddatasikkerhetsmaskinen
Bruk denne fremgangsmåten til å logge på VM-konsollen for Hybrid Data Security-noden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.
1 | I VMware vSphere-klienten velger du den virtuelle hybriddatasikkerhetsnoden og velger Konsoll -fanen. Den virtuelle maskinen starter opp, og det vises en påloggingsmelding. Hvis påloggingsmeldingen ikke vises, trykker du på Gå inn .
|
2 | Bruk følgende standard påloggingsinformasjon og passord for å logge på og endre legitimasjonen: Siden du logger på den virtuelle maskinen for første gang, må du endre administrator . |
3 | Hvis du allerede har konfigurert nettverksinnstillinger i Installer HDS Host OVA , hopper du over resten av denne prosedyren. Ellers velger du på hovedmeny Rediger konfigurasjon alternativet. |
4 | Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke. |
5 | (Valgfritt) Endre vertsnavnet, domenet eller NTP-server(e) om nødvendig for å samsvare med nettverkspolicyen din. Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet. |
6 | Lagre nettverkskonfigurasjon og start den virtuelle maskinen på nytt slik at endringene trer i kraft. |
Last opp og monter HDS-konfigurasjons-ISO
Før du starter
Siden ISO-filen inneholder hovednøkkelen, bør den bare vises på en «trenger å vite»-basis, for tilgang for de virtuelle hybriddatasikkerhets-ene og alle administratorer som måtte trenge å gjøre endringer. Kontroller at bare disse administratorene har tilgang til datalageret.
1 | Last opp ISO-filen fra datamaskinen: |
2 | Monter ISO-filen: |
Hva nå?
Hvis IT-retningslinjene krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene dine har registrert konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.
Konfigurere HDS-noden for proxy-integrasjon
Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybriddatasikkerhet. Hvis du velger en gjennomsiktig inspeksjonsproxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet og feilsøke eventuelle problemer.
Før du starter
Se Proxy-støtte hvis du vil ha en oversikt over proxy-alternativene som støttes.
1 | Angi URL-adressen til oppsett av HDS-node |
2 | Gå til Klareringslager og proxy, og velg deretter et alternativ:
Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en HTTP-eksplisitt proxy med enkel godkjenning eller en eksplisitt HTTPS-proxy. |
3 | Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen. Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på vinkeltegnpilen ved navnet på sertifikatutstederen for å få flere detaljer, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt. |
4 | Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen. Hvis tilkoblingstesten mislykkes, ser du en feilmelding som viser årsaken og hvordan du kan løse problemet. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne betingelsen forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene, og deretter ser du Slå av blokkert ekstern DNS-oppløsningsmodus . |
5 | Etter at tilkoblingstesten blir bestått, kun for eksplisitt proxy satt til https, setter du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen trer i kraft etter 15 sekunder. |
6 | Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en HTTP-eksplisitt proxy), les ledeteksten, og klikk deretter på Installer hvis du er klar. Noden starter på nytt i løpet av noen få minutter. |
7 | Når noden har startet på nytt, logger du på igjen om nødvendig, og deretter åpner du Oversikt-siden for å kontrollere tilkoblingskontrollene for å sikre at alle har grønn status. Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det oppstår tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen. |
Registrer den første noden i klyngen
Når du registrerer den første noden, oppretter du en klynge som noden er tilordnet. En klynge inneholder én eller flere noder distribuert for å gi redundans.
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Logg på https://admin.webex.com. |
2 | Fra menyen på venstre side av skjermen velger du Tjenester . |
3 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Konfigurer . Siden Registrer hybrid node for datasikkerhet vises.
|
4 | Velg Ja for å indikere at du har satt opp noden og er klar til å registrere den, og klikk deretter på Neste . |
5 | I det første feltet skriver du inn et navn på klyngen du vil tilordne Hybrid Data Security-noden til. Vi anbefaler at du gir navn til en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: «San Francisco» eller «New York» eller «Dallas» |
6 | I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste . Denne IP-adresse eller FQDN må samsvare med IP-adresse eller vertsnavnet og domenet du brukte i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . Det vises en melding som angir at du kan registrere noden til Webex.
|
7 | Klikk på Gå til Node . |
8 | Klikk på Fortsett i advarselsmelding. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til Webex-organisasjonen din for å få tilgang til noden.
|
9 | Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett . Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
|
10 | Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden. På Hybrid datasikkerhet side, vises den nye klyngen som inneholder noden du registrerte. Noden vil automatisk laste ned den nyeste programvaren fra skyen.
|
Opprett og registrer flere noder
På dette tidspunktet er de virtuelle sikkerhetskopiene-ene du opprettet i Fullfør forutsetningene for hybrid datasikkerhet er standby-verter som bare brukes i tilfelle katastrofegjenoppretting; de er ikke registrert i systemet før da. Hvis du vil ha mer informasjon, se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus . |
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA . |
2 | Konfigurer den første konfigurasjonen på den nye virtuelle maskinen, og gjenta trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . |
3 | Gjenta trinnene i den nye VM-en Last opp og monter HDS-konfigurasjons-ISO . |
4 | Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrering etter behov for den nye noden. |
5 | Registrer noden. Noden din er registrert. Merk at frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.
|
Hva nå?
Oppgaveflyt fra prøveversjon til produksjon
Når du har konfigurert en Hybrid Data Security-klynge, kan du starte en pilot, legge til brukere i den og begynne å bruke den til testing og bekreftelse av distribusjonen som forberedelse til overgang til produksjon.
Før du starter
1 | Hvis det er aktuelt, synkroniserer du Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge |
2 |
Start en prøveversjon. Frem til du gjør denne oppgaven, genererer nodene en alarm som indikerer at tjenesten ennå ikke er aktivert. |
3 | Test hybriddistribusjonen av datasikkerhet Kontroller at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen. |
4 | Overvåke helse for hybrid datasikkerhet Sjekk status, og konfigurer e-postvarsler for alarmer. |
5 | |
6 | Fullfør prøveperioden med én av følgende handlinger: |
Aktiver prøveversjon
Før du starter
Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup
gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.
1 | Logg påhttps://admin.webex.com , og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Start prøveversjonen . Tjenestestatusen endres til prøveversjonsmodus.
|
4 | Klikk på Legg til brukere og angi e-postadresse til én eller flere brukere for å prøve å bruke Hybrid Data Security-nodene for kryptering og indekseringstjenester. (Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory til å administrere prøvegruppen, |
Test hybriddistribusjonen av datasikkerhet
Før du starter
Konfigurer Hybrid Data Security-distribusjonen.
Aktiver prøveversjonen, og legg til flere prøveversjonsbrukere.
Kontroller at du har tilgang til syslog for å bekrefte at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.
1 | Taster for et gitt område angis av oppretteren av området. Logg på Webex-appen som én av pilotbrukerne, og opprett deretter et område og inviter minst én pilotbruker og én ikke-pilotbruker.
| ||
2 | Send meldinger til det nye området. | ||
3 | Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til Hybrid Data Security-distribusjonen. |
Overvåke helse for hybrid datasikkerhet
1 | I Kontrollhub , velger du Tjenester fra menyen på venstre side av skjermen. |
2 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Innstillinger . Siden Innstillinger for hybrid datasikkerhet vises.
|
3 | I delen E-postvarsler skriver du inn én eller flere e-postadresser atskilt med komma, og trykker på Gå inn . |
Legg til eller fjern brukere fra prøveversjonen
Hvis du fjerner en bruker fra prøveversjonen, vil brukerens klient be om å opprette nøkler og nøkler fra KMS-skyen i stedet for KMS-en din. Hvis klienten trenger en nøkkel som er lagret på KMS-en, vil KMS-en i skyen hente den på brukerens vegne.
Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory (i stedet for denne prosedyren) til å administrere prøvegruppen, HdsTrialGroup
; du kan vise gruppemedlemmene i Control Hub, men kan ikke legge til eller fjerne dem.
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Prøvemodus i området Tjenestestatus klikker du på Legg til brukere , eller klikk vise og redigere for å fjerne brukere fra prøveversjonen. |
4 | Skriv inn e-postadresse til én eller flere brukere som skal legges til, eller klikk på X av en bruker-ID for å fjerne brukeren fra prøveversjonen. Klikk deretter på Lagre. |
Gå fra prøveversjon til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Flytt til produksjon . |
4 | Bekreft at du vil flytte alle brukerne til produksjon. |
Avslutt prøveversjonen uten å gå til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I Deaktiver-delen klikker du på Deaktiver . |
4 | Bekreft at du vil deaktivere tjenesten og avslutte prøveversjonen. |
Behandle HDS-distribusjon
Bruk oppgavene som er beskrevet her, til å administrere Hybrid Data Security-distribusjonen.
Angi tidsplan for klyngeoppgradering
Slik angir du oppgraderingsplanen:
1 | Logg på Kontrollhub . |
2 | På Oversikt-siden, under Hybridtjenester, velger du Hybrid datasikkerhet . |
3 | Velg klyngen på siden Hybriddatasikkerhetsressurser. |
4 | I Oversikt-panelet til høyre, under Klyngeinnstillinger, velger du klyngenavnet. |
5 | På Innstillinger-siden, under Oppgradering, velger du tid og tidssone for oppgraderingsplanen. Merk: Under tidssone vises dato og klokkeslett for neste tilgjengelige oppgradering. Du kan om nødvendig utsette oppgraderingen til neste dag ved å klikke på Utsette . |
Endre nodekonfigurasjonen
Endring av x.509-sertifikater på grunn av utløpsdato eller andre årsaker.
Vi støtter ikke endring av CN- domenenavn for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.
Oppdaterer databaseinnstillinger for å endre til en replika av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt vei. Hvis du vil bytte databasemiljø, starter du en ny distribusjon av Hybrid Data Security.
Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.
Av sikkerhetsmessige årsaker bruker Hybriddata-sikkerhet passord som har en levetid på ni måneder på tjenestekontoer. HDS-installasjonsverktøyet genererer disse passordene, og du distribuerer dem til hver av HDS-nodene dine som en del av ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløp, mottar du et «Varsel om utløp av passord» fra Webex-teamet, der du blir bedt om å tilbakestille passordet for maskinkontoen. (E-posten inneholder teksten «Bruk maskinkontoens API til å oppdatere passordet.») Hvis passordene ikke er utløpt ennå, gir verktøyet deg to alternativer:
Myk tilbakestilling – Det gamle og det nye passordet fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.
Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.
Hvis passordene dine utløper uten en tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.
Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du henter opp Docker-beholderen i 1.e . Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO-en inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO-en når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i autorisasjonspolicy.
1 | Kjør HDS-konfigureringsverktøyet via Docker på en lokal maskin. |
2 | Hvis du kun kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den via den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, se Opprett og registrer flere noder . |
3 | For eksisterende HDS-noder som kjører den eldre konfigurasjonsfil, monterer du ISO-filen. Utfør følgende prosedyre på hver node etter tur, og oppdater hver node før du slår av neste node: |
4 | Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen. |
Deaktiver blokkert ekstern DNS-oppløsningsmodus
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modusen blokkert ekstern DNS-oppløsning.
Hvis nodene kan løse offentlige DNS-navn via interne DNS-servere, kan du deaktivere denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.
Før du starter
1 | Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/-oppsett, for eksempel https://192.0.2.0/setup),angi administratorlegitimasjonen du konfigurerte for noden, og klikk deretter på Logg på. |
2 | Gå til Oversikt (standardsiden). Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja. |
3 | Gå til siden Klareringslager og proxy. |
4 | Klikk på Kontroller proxy-tilkobling. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og den vil forbli i denne modusen. Ellers, etter at du har startet noden på nytt og gått tilbake til Oversikt-siden, bør Blokkert ekstern DNS-oppløsning settes til Nei. |
Hva nå?
Fjerne en node
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuell maskin. |
2 | Fjern noden: |
3 | Slett den virtuelle maskinen i vSphere-klienten. (I venstre navigasjonsrute høyreklikk du på den virtuelle maskinen og klikker Slett .) Hvis du ikke sletter den virtuelle maskinen, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke den virtuelle maskinen til å få tilgang til sikkerhetsdataene dine. |
Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus
Den mest kritiske tjenesten Hybrid Data Security-klyngen tilbyr, er opprettelse og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet Hybrid Data Security, rutes nye forespørsler om å opprette nøkkel til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til alle brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.
Siden klyngen utfører den kritiske funksjonen med å oppgi disse nøklene, er det viktig at klyngen fortsetter å kjøre og at forsvarlige sikkerhetskopier opprettholdes. Tap av Hybrid Data Security-databasen eller av ISO-konfigurasjonen som ble brukt for skjemaet, vil føre til TAP av kundeinnhold som ikke kan gjenopprettes. Følgende fremgangsmåter er obligatoriske for å forhindre slikt tap:
Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenter blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til datasenter i ventemodus.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene . | ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor eller fjerner
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
(Valgfritt) Avmonter ISO etter HDS-konfigurasjon
Standard HDS-konfigurasjonen kjører med ISO-en montert. Men noen kunder foretrekker å ikke la ISO-filer være kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-noder har plukket opp den nye konfigurasjonen.
Du bruker fortsatt ISO-filene til å gjøre konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO via installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene dine har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en på nytt med denne prosedyren.
Før du starter
Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.
1 | Avslutt én av HDS-nodene dine. |
2 | I vCenter Server Appliance velger du HDS-noden. |
3 | Velg ISO-fil for datalager . og fjern merket |
4 | Slå på HDS-noden og kontroller at det ikke er noen alarmer på minst 20 minutter. |
5 | Gjenta for hver HDS-node etter tur. |
Vis varsler og feilsøking
En Hybrid Data Security-distribusjon anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller hvis klyngen fungerer så sakte at forespørslene tidsavbrudd. Hvis brukere ikke kan nå Hybrid Data Security-klyngen, opplever de følgende symptomer:
Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)
Meldinger og områdetitler kan ikke dekrypteres for:
Nye brukere lagt til i et område (kan ikke hente nøkler)
Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)
Eksisterende brukere i et område fortsetter å kjøre så lenge klientene deres har en hurtigbuffer for krypteringsnøklene
Det er viktig at du overvåker Hybrid Data Security-klyngen på riktig måte og adresserer alle varsler umiddelbart for å unngå avbrudd i tjenesten.
Varsler
Hvis det er et problem med oppsettet av Hybrid Data Security, viser Control Hub varsler til administrator og sender e-postmeldinger til den konfigurerte e-postadresse. Varslene dekker mange vanlige scenarier.
Varsel | Handling |
---|---|
Feil ved tilgang til lokal database. |
Se etter databasefeil eller problemer med det lokale nettverket. |
tilkoblingsfeil til lokal database. |
Kontroller at databaseserver er tilgjengelig, og at riktig påloggingsinformasjon for tjenestekonto ble brukt i nodekonfigurasjonen. |
Tilgangsfeil for skytjeneste. |
Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling . |
Fornyer registrering av skytjeneste. |
Registrering for skytjenester ble avbrutt. Fornyelse av registrering pågår. |
Registrering av skytjeneste ble avbrutt. |
Registreringen til skytjenester ble avsluttet. Tjenesten avsluttes. |
Tjenesten ikke aktivert ennå. |
Aktiver en prøveversjon, eller fullfør flyttingen av prøveversjonen til produksjon. |
Det konfigurerte domenet samsvarer ikke med serversertifikat. |
Kontroller at serversertifikat samsvarer med det konfigurerte domenet for tjenesteaktivering. Den mest sannsynlige årsaken er at sertifikatet CN nylig ble endret og nå er forskjellig fra CN som ble brukt under det første oppsettet. |
Kunne ikke autentisere for skytjenester. |
Se etter nøyaktighet og mulig utløp av legitimasjon for tjenestekonto . |
Kunne ikke åpne den lokale nøkkellagerfilen. |
Se etter integritet og passordnøyaktighet i den lokale nøkkellagerfilen. |
Det lokale serversertifikat er ugyldig. |
Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans. |
Kan ikke legge inn beregninger. |
Sjekk lokal nettverkstilgang til eksterne skytjenester. |
Katalogen /media/configdrive/hds finnes ikke. |
Kontroller konfigurasjonen for ISO-montering på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å montere ved omstart, og at den er vellykket. |
Feilsøke hybrid datasikkerhet
1 | Se gjennom Control Hub for å se eventuelle varsler, og reparer alle elementer du finner der. |
2 | Se gjennom syslog-serverutdataene for aktivitet fra Hybrid Data Security-distribusjonen. |
3 | Kontakt Cisco-støtte . |
Kjente problemer med hybrid datasikkerhet
Hvis du avslutter Hybrid Data Security-klyngen (ved å slette den i Control Hub eller ved å avslutte alle noder), mister ISO-konfigurasjonsfilen eller mister tilgangen til nøkkellagerdatabasen, kan brukerne av Webex-appen ikke lenger bruke områder under Personene sine liste som ble opprettet med nøkler fra KMS. Dette gjelder både prøveversjon og produksjonsdistribusjoner. Vi har for øyeblikket ingen løsning eller løsning for dette problemet, og vi ber deg innstendig om ikke å avslutte HDS-tjenestene dine når de håndterer aktive brukerkontoer.
En klient som har en eksisterende ECDH-tilkobling til en KMS, opprettholder denne tilkoblingen i en periode (sannsynligvis én time). Når en bruker blir medlem av en prøveversjon av Hybrid Data Security, fortsetter brukerens klient å bruke den eksisterende ECDH-tilkoblingen frem til tidsavbrudd. Alternativt kan brukeren logge av og på igjen Webex-appen for å oppdatere plasseringen appen kontakter for krypteringsnøkler.
Den samme virkemåten oppstår når du flytter en prøveversjon til produksjon for organisasjonen. Alle ikke-prøvebrukere med eksisterende ECDH-tilkoblinger til de tidligere datasikkerhetstjenestene vil fortsette å bruke disse tjenestene til ECDH-tilkoblingen reforhandles (gjennom tidsavbrudd eller ved å logge av og på igjen).
Bruk OpenSSL til å generere en PKCS12-fil
Før du starter
OpenSSL er ett verktøy som kan brukes til å gjøre PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi hverken støtter eller promoterer én måte fremfor en annen.
Hvis du velger å bruke OpenSSL, tilbyr vi denne fremgangsmåten som en retningslinje for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i Krav til X.509-sertifikater . Forstå disse kravene før du fortsetter.
Installer OpenSSL i et støttet miljø. Sehttps://www.openssl.org for programvaren og dokumentasjonen.
Opprett en privat nøkkel.
Start denne prosedyren når du mottar serversertifikat fra sertifiseringsinstans (CA).
1 | Når du mottar serversertifikat fra CA, lagrer du det som |
2 | Vis sertifikatet som tekst, og bekreft detaljene.
|
3 | Bruk et tekstredigeringsprogram til å opprette en sertifikatpakkefil kalt
|
4 | Opprett .p12-filen med det vennlige navnet
|
5 | Kontroller serversertifikat . |
Hva nå?
Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet . Du vil bruke hdsnode.p12
filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-vertene .
Du kan bruke disse filene på nytt til å be om et nytt sertifikat når det opprinnelige sertifikatet utløper. |
Trafikk mellom HDS-nodene og skyen
Utgående trafikk for innsamling av beregninger
Hybriddatasikkerhetsnodene sender bestemte beregninger til Webex-skyen. Disse inkluderer systemmålinger for maks. haug, brukt haug, CPU-belastning og antall tråder. målinger for synkrone og asynkrone tråder; målinger for varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller en forespørselskølengde; målinger på datalageret; og måleverdier for krypteringstilkobling. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).
Innkommende trafikk
Hybriddatasikkerhetsnodene mottar følgende typer innkommende trafikk fra Webex-skyen:
Krypteringsforespørsler fra klienter, som rutes av krypteringstjenesten
Oppgraderinger til nodeprogramvaren
Konfigurer Squid-proxyer for hybrid datasikkerhet
Websocket kan ikke koble til via Squid-proxy
Squid-proxyer som inspiserer HTTPS-trafikk, kan forstyrre etableringen av websocket ( wss:
)-tilkoblinger som Hybrid Data Security krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss:
trafikk for riktig drift av tjenestene.
Squid 4 og 5
Legg til on_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi testet Hybrid Data Security med følgende regler lagt til squid.conf
. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Ny og endret informasjon
Dato | Endringer gjort | ||
---|---|---|---|
20. oktober 2023 |
| ||
7. august 2023 |
| ||
23. mai 2023 |
| ||
6. desember 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop må kjøre et installasjonsprogram før du kan installere HDS-noder. Se Krav til Docker-skrivebord . | ||
24. juni 2021 | Merk at du kan bruke den private nøkkelfilen og CSR-en på nytt for å be om et annet sertifikat. Se Bruk OpenSSL til å generere en PKCS12-fil for detaljer. | ||
30. april 2021 | Endret VM-kravet for lokal harddiskplass til 30 GB. Se Krav til virtuell vert for detaljer. | ||
24. februar 2021 | HDS-installasjonsverktøyet kan nå kjøres bak en proxy. Se Opprett en konfigurasjons-ISO for HDS-vertene for detaljer. | ||
2. februar 2021 | HDS kan nå kjøres uten en montert ISO-fil. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer. | ||
11. januar 2021 | Lagt til informasjon om HDS-oppsettverktøy og proxyer til Opprett en konfigurasjons-ISO for HDS-vertene . | ||
13. oktober 2020 | Oppdatert Last ned installasjonsfiler . | ||
8. oktober 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med kommandoer for FedRAMP-miljøer. | ||
14. august 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med endringer i påloggingsprosessen. | ||
5. august 2020 | Oppdatert Test hybriddistribusjonen av datasikkerhet for endringer i loggmeldinger. Oppdatert Krav til virtuell vert for å fjerne maksimalt antall verter. | ||
16. juni 2020 | Oppdatert Fjerne en node for endringer i Control Hub-grensesnittet. | ||
4. juni 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for endringer i de avanserte innstillingene du måtte angi. | ||
29. mai 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for å vise at du også kan bruke TLS med SQL Server-databaser, brukergrensesnittendringer og andre presiseringer. | ||
5. mai 2020 | Oppdatert Krav til virtuell vert for å vise nye krav til ESXi 6.5. | ||
21. april 2020 | Oppdatert Krav til ekstern tilkobling med nye Americas CI-verter. | ||
1. april 2020 | Oppdatert Krav til ekstern tilkobling med informasjon om regionale CI-verter. | ||
20. februar 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med informasjon om det nye, valgfrie skjermbildet for avanserte innstillinger i HDS-oppsettverktøyet. | ||
4. februar 2020 | Oppdatert Krav til proxy-server . | ||
16. desember 2019 | Klargjorde kravet om at blokkert ekstern DNS-oppløsningsmodus skal fungere i Krav til proxy-server . | ||
19. november 2019 | La til informasjon om blokkert ekstern DNS-oppløsningsmodus i følgende deler: | ||
8. november 2019 | Du kan nå konfigurere nettverksinnstillinger for en node mens du distribuerer OVA i stedet for etterpå. Oppdaterte følgende deler tilsvarende:
| ||
6. september 2019 | Lagt til SQL Server Standard i Krav til databaseserver . | ||
29. august 2019 | Lagt til Konfigurer Squid-proxyer for hybrid datasikkerhet vedlegg med veiledning om konfigurering av Squid-proxyer til å ignorere websocket-trafikk for riktig drift. | ||
20. august 2019 | Lagt til og oppdaterte deler for å dekke proxy-støtte for hybrid datasikkerhetsnodekommunikasjon til Webex-skyen. Hvis du bare vil ha tilgang til proxy-støtteinnholdet for en eksisterende distribusjon, kan du se Proxy-støtte for hybrid datasikkerhet og Webex-videonett hjelpeartikkel. | ||
13. juni 2019 | Oppdatert Oppgaveflyt fra prøveversjon til produksjon med en påminnelse om å synkronisere HdsTrialGroup gruppeobjekt før du starter en prøveversjon hvis organisasjonen bruker katalogsynkronisering. | ||
6. mars 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. mai 2018 | Endret terminologi for å gjenspeile endringen av varemerke for Cisco Spark:
| ||
11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
2. november 2017 |
| ||
18. august 2017 | Først publisert |
Oversikt over hybrid datasikkerhet
Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er ende-til-ende-kryptering av innhold, aktivert av Webex App-klienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografinøklene som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.
Som standard får alle Webex App-kunder ende-til-ende-kryptering med dynamiske nøkler lagret i KMS-skyen, i Ciscos sikkerhetsområde. Hybrid datasikkerhet flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, slik at ingen andre enn deg har nøklene til ditt krypterte innhold.
Arkitektur for sikkerhetsriket
Webex-skyarkitekturen skiller forskjellige typer tjenester i separate områder, eller klareringsdomener, som vist nedenfor.
For å forstå Hybrid Data Security ytterligere, la oss først se på dette rene skysaken, der Cisco leverer alle funksjoner i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan korreleres direkte med personlig informasjon, for eksempel e-postadresse, er logisk og fysisk atskilt fra sikkerhetsområdet i datasenter B. Begge er igjen atskilt fra området der kryptert innhold til slutt lagres , i datasenter C.
I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og som er autentisert med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:
Klienten oppretter en sikker tilkobling med nøkkelbehandlingstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikker tilkobling bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en AES-256-hovednøkkel.
Meldingen krypteres før den forlater klienten. Klienten sender den til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe til med fremtidige søk etter innholdet.
Den krypterte meldingen sendes til samsvarstjenesten for samsvarskontroll.
Den krypterte meldingen lagres i lagringsområdet.
Når du distribuerer Hybrid Data Security, flytter du sikkerhetsområdets funksjoner (KMS, indeksering og samsvar) til det lokale datasenter. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos riker.
Samarbeide med andre organisasjoner
Brukere i organisasjonen din kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen (fordi det ble opprettet av en av brukerne), sender KMS-en nøkkelen til klienten over en ECDH-sikker kanal. Når en annen organisasjon eier nøkkelen for området, ruter KMS-en imidlertid forespørselen ut til Webex-skyen gjennom en egen ECDH-kanal for å hente nøkkelen fra riktig KMS, og returnerer deretter nøkkelen til brukeren på den opprinnelige kanalen.
KMS-tjenesten som kjøres på organisasjon A, validerer tilkoblingene til KMS-er i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet ditt for detaljer om generering av et x.509-sertifikat som skal brukes med Hybrid Data Security-distribusjonen.
Forventninger for distribusjon av hybrid datasikkerhet
En Hybrid Data Security-distribusjon krever betydelig kundeengasjement og en bevissthet om risikoene som følger med å eie krypteringsnøkler.
Hvis du vil distribuere Hybrid Data Security, må du oppgi:
Et sikkert datasenter i et land som er et støttet plassering for Cisco Webex Teams planene .
Utstyret, programvaren og nettverkstilgangen som er beskrevet i Forbered miljøet ditt .
Fullstendig tap av enten konfigurasjons-ISO-en du bygger for Hybrid Data Security eller databasen du oppgir, vil føre til tap av nøklene. Tap av nøkkel forhindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:
Behandle sikkerhetskopieringen og gjenopprettingen av databasen og konfigurasjonen av ISO.
Vær forberedt på å utføre rask gjenoppretting ved katastrofegjenoppretting hvis det oppstår en katastrofe, for eksempel en databasediskfeil eller en datasenter .
Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon. |
Konfigurasjonsprosess på høyt nivå
Dette dokumentet dekker oppsett og administrasjon av en Hybrid Data Security-distribusjon:
Konfigurer Hybrid Data Security – Dette inkluderer klargjøring av nødvendig infrastruktur og installasjon av Hybrid Data Security-programvare, testing av distribusjonen med et undersett av brukere i prøveversjonsmodus, og, når testingen er fullført, overgang til produksjon. Dette konverterer hele organisasjonen til å bruke Hybrid Data Security-klyngen for sikkerhetsfunksjoner.
Oppsett-, prøve- og produksjonsfasene dekkes i detalj i de neste tre kapitlene.
Vedlikeholde Hybrid Data Security-distribusjonen – Webex-skyen gir automatisk løpende oppgraderinger. IT-avdelingen din kan tilby nivå 1-støtte for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke skjermvarsler og konfigurere e-postbaserte varsler i Control Hub.
Forstå vanlige varsler, feilsøkingstrinn og kjente problemer –Hvis du får problemer med å distribuere eller bruke Hybrid Data Security, kan det siste kapitlet i denne veiledningen og tillegget Kjente problemer hjelpe deg med å finne ut og løse problemet.
Hybrid distribusjonsmodell for datasikkerhet
I foretningsdata distribuerer du Hybrid Data Security som én enkelt klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen gjennom sikre websockets og sikker HTTP.
Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere den virtuelle enheten på de virtuelle maskinene du oppgir. Du bruker installasjonsverktøyet for HDS til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Hybrid Data Security-klyngen bruker den medfølgende Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)
Det minste antallet noder du kan ha i en klynge, er to. Vi anbefaler minst tre, og du kan ha opptil fem. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)
Alle nodene i en klynge har tilgang til det samme nøkkeldatalageret og loggaktiviteten til den samme syslog-serveren. Nodene i seg selv er statsløse og håndterer nøkkelforespørsler på en roundrobin-måte, som anvist av skyen.
Nodene blir aktive når du registrerer dem i Control Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.
Vi støtter bare én klynge per organisasjon.
Prøveversjonsmodus for hybrid datasikkerhet
Etter at du har satt opp en Hybrid Data Security-distribusjon, kan du først prøve den med et sett med pilotbrukere. I løpet av prøveperioden bruker disse brukerne det lokale Hybrid Data Security-domenet ditt for krypteringsnøkler og andre sikkerhetstjenester. De andre brukerne dine fortsetter å bruke sikkerhetsområdet for skyen.
Hvis du bestemmer deg for ikke å fortsette med distribusjonen i løpet av prøveperioden og deaktivere tjenesten, mister pilotbrukerne og alle brukere de har samhandlet med ved å opprette nye områder i løpet av prøveperioden tilgangen til meldingene og innholdet. De vil se «Denne meldingen kan ikke dekrypteres» i Webex-appen.
Hvis du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, og du er klar til å utvide Hybrid Data Security til alle brukerne, flytter du distribusjonen til produksjon. Pilotbrukere fortsetter å ha tilgang til nøklene som var i bruk under prøveversjonen. Du kan imidlertid ikke gå frem og tilbake mellom produksjonsmodus og den opprinnelige prøveversjonen. Hvis du må deaktivere tjenesten, for eksempel for å utføre katastrofegjenoppretting, må du starte en ny prøveversjon og konfigurere settet med pilotbrukere for den nye prøveversjonen før du går tilbake til produksjonsmodus når du aktiverer den. Hvorvidt brukere beholder tilgangen til data på dette tidspunktet, avhenger av om du har vedlikeholdt sikkerhetskopier av datalager og ISO konfigurasjonsfil for Hybrid Data Security-nodene i klyngen.
Datasenter i ventemodus for katastrofegjenoppretting
Under distribusjonen konfigurerer du et sikkert datasenter i ventemodus . I tilfelle en datasenter , kan du feile distribusjonen manuelt over til datasenter i ventemodus .
Databasene til det aktive datasenteret og datasenteret i ventemodus er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover. ISO-filen til datasenter for ventemodus oppdateres med flere konfigurasjoner som sikrer at nodene registreres i organisasjonen, men ikke håndterer trafikk. Derfor forblir nodene i standby datasenter alltid oppdatert med den nyeste versjonen av HDS-programvaren.
De aktive hybriddatasikkerhetsnodene må alltid være i samme datasenter som den aktive databaseserver. |
Konfigurere datasenter i ventemodus for katastrofegjenoppretting
Følg trinnene nedenfor for å konfigurere ISO-filen for datasenter i ventemodus:
Før du starter
datasenter i ventemodus skal speile produksjonsmiljøet til virtuelle maskiner og en sikkerhetskopi av PostgreSQL- eller Microsoft SQL Server-database. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. (Se Datasenter i ventemodus for katastrofegjenoppretting for en oversikt over denne failover-modellen.)
Kontroller at databasesynkronisering er aktivert mellom databasen med aktive og passive klyngenoder.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .
| ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor for å plassere noden i passiv modus. I denne modusen vil noden være registrert i organisasjonen og koblet til skyen, men vil ikke håndtere trafikk.
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
Etter konfigurering passiveMode
i ISO-filen og lagrer den, kan du opprette en annen kopi av ISO-filen uten passiveMode
konfigurasjonen og lagre den på et sikkert sted. Denne kopien av ISO-filen uten passiveMode
konfigurert kan hjelpe i en rask failover-prosess under katastrofegjenoppretting. Se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus for den detaljerte failover-prosedyren.
Proxy-støtte
Hybriddatasikkerhet støtter eksplisitte, gjennomsiktige proxyer for inspeksjon og ikke-inspeksjon. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et grensesnitt for plattformadministrasjon på nodene for sertifikatadministrasjon og kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.
Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:
Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Klareringslager og proxy-konfigurasjon til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig ikke-inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse, og bør ikke trenge endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig tunnelering eller inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjon er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de klarerer proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer om hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og hvilken godkjenningsplan som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon for hver node:
Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.
Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.
Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:
HTTP – Viser og kontrollerer alle forespørsler som klienten sender.
HTTPS – Gir en kanal til serveren. Klienten mottar og godkjenner serverens sertifikat.
Godkjenningstype – Velg blant følgende godkjenningstyper:
Ingen – Ingen ytterligere godkjenning er nødvendig.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Grunnleggende – Brukes for en HTTP-brukeragent til å angi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.
Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Eksempel på noder og proxy for hybriddatasikkerhet
Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og HTTPS eksplisitt inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.
Blokkert ekstern DNS-oppløsningsmodus (eksplisitt proxy-konfigurasjoner)
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsningsmodus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.
Krav for hybrid datasikkerhet
Lisenskrav for Cisco Webex
Slik distribuerer du hybrid datasikkerhet:
Du må ha Pro Pack for Cisco Webex Control Hub. (Sehttps://www.cisco.com/go/pro-pack .)
Krav til Docker-skrivebord
Før du installerer HDS-nodene, må du ha Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig lisensieringsmodellen. Organisasjonen din kan kreve et betalt abonnement for Docker Desktop. Hvis du vil ha mer informasjon, se Docker-blogginnlegget, « Docker oppdaterer og utvider produktabonnementene våre «.
Krav til X.509-sertifikater
sertifikatkjede må oppfylle følgende krav:
Krav | Detaljer |
---|---|
| Som standard klarerer vi sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) påhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN-en trenger ikke å være tilgjengelig eller være en direktevert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel CN kan ikke inneholde en * (jokertegn). CN brukes til å bekrefte hybriddatasikkerhetsnodene til Webex App-klienter. Alle hybriddatasikkerhetsnodene i klyngen bruker det samme sertifikatet. KMS-en din identifiserer seg ved hjelp av CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene. Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN- domenenavn. Velg et domene som kan gjelde for både prøveversjonen og produksjonsdistribusjonene. |
| KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjoners KMS-er. |
| Du kan bruke et konverteringsprogram som OpenSSL til å endre sertifikatets format. Du må angi passordet når du kjører HDS-installasjonsverktøyet. |
KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifiseringsinstanser krever at utvidede begrensninger for nøkkelbruk brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.
Krav til virtuell vert
De virtuelle vertene som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen, har følgende krav:
Minst to separate verter (tre anbefales) plassert i det samme sikre datasenter
VMware ESXi 6.5 (eller nyere) er installert og kjører.
Du må oppgradere hvis du har en tidligere versjon av ESXi.
Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokal harddiskplass per server
Krav til databaseserver
Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene, når de er installert, oppretter databaseskjemaet. |
Det finnes to alternativer for databaseserver. Kravene for hver av dem er som følger:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) | Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) |
HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserver:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC-driver 42.2.5 | SQL Server JDBC-driver 4.6 Denne driverversjonen støtter SQL Server Always On ( Alltid på failover-klyngeforekomster og Alltid på tilgjengelighetsgrupper ). |
Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server
Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:
HDS-nodene, Active Directory -infrastrukturen og MS SQL Server må alle være synkronisert med NTP.
Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.
DNS-serverne du oppgir til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).
Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et Service Principal Name (SPN) i Active Directory. Se Registrer et hovednavn for tjeneste for Kerberos Connections .
HDS-oppsettverktøyet, HDS-startprogrammet og lokal KMS må alle bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN når de ber om tilgang med Kerberos-autentisering.
Krav til ekstern tilkobling
Konfigurer brannmuren til å tillate følgende tilkoblingsmuligheter for HDS-programmene:
Applikasjon | Protokoll | Port | Veibeskrivelse fra app | Destinasjon |
---|---|---|---|---|
Hybride datasikkerhetsnoder | TCP | 443 | Utgående HTTPS og WSS |
|
HDS-oppsettverktøy | TCP | 443 | Utgående HTTPS |
|
Hybrid Data Security-nodene fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmur tillater de nødvendige utgående tilkoblingene til domenemålene i den foregående tabellen. For tilkoblinger som går inn til Hybrid Data Security-nodene, skal ingen porter være synlige fra Internett. I datasenter ditt trenger klienter tilgang til hybriddatasikkerhetsnodene på TCP-portene 443 og 22 til administrative formål. |
URL-adressene for CI-vertene (Common Identity) er regionsspesifikke. Dette er de nåværende CI-vertene:
Region | Felles URL-adresser for vertsidentitet |
---|---|
Nord- og Sør-Amerika |
|
Den europeiske union |
|
Canada |
|
Krav til proxy-server
Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene dine for hybriddatasikkerhet.
Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).
Eksplisitt proxy – Squid.
Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av WebSocket (wss:) tilkoblinger. Hvis du vil omgå dette problemet, kan du se Konfigurer Squid-proxyer for hybrid datasikkerhet .
Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:
Ingen godkjenning med HTTP eller HTTPS
Enkel godkjenning med HTTP eller HTTPS
Sammendragsgodkjenning kun med HTTPS
Hvis du vil ha en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne håndboken beskriver hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnoder.
Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.
Proxyer som inspiserer nettrafikk, kan forstyrre WebSocket-tilkoblinger. Hvis dette problemet oppstår, kan du omgå (ikke inspisere) trafikk til
wbx2.com
ogciscospark.com
vil løse problemet.
Fullfør forutsetningene for hybrid datasikkerhet
1 | Kontroller at Webex-organisasjonen din er aktivert for Pro Pack for Cisco Webex Control Hub, og få legitimasjonen til en konto med fulle administrator . Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen. | ||
2 | Velg et domenenavn for HDS-distribusjonen (for eksempel | ||
3 | Klargjør identiske virtuelle verter som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen. Du trenger minst to separate verter (tre anbefales) plassert i det samme sikre datasenter, som oppfyller kravene i Krav til virtuell vert . | ||
4 | Klargjør databaseserver som skal fungere som datalager for klyngen, i henhold til Krav til databaseserver . databaseserver må være lokalisert i det sikre datasenter med de virtuelle vertene. | ||
5 | Hvis du vil ha rask gjenoppretting ved katastrofegjenoppretting, konfigurerer du et sikkerhetskopimiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet for virtuelle datamaskiner og en databaseserver. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. | ||
6 | Konfigurer en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadresse og syslog-porten (standard er UDP 514). | ||
7 | Opprett en sikker sikkerhetskopieringspolicy for Hybrid Data Security-nodene, databaseserver og syslog-verten. For å forhindre tap av ugjenopprettelig data må du som et minimum sikkerhetskopiere databasen og ISO-konfigurasjonsfilen som er generert for Hybrid Data Security-nodene.
Webex App-klienter hurtigbufrer nøklene sine, så et driftsbrudd vil kanskje ikke merkes umiddelbart, men vil bli tydelig over tid. Selv om midlertidige strømbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopier tilgjengelig) av enten databasen eller ISO-konfigurasjonsfilen vil imidlertid føre til kundedata som ikke kan gjenopprettes. Operatørene av Hybrid Data Security-nodene forventes å opprettholde hyppige sikkerhetskopier av databasen og ISO-konfigurasjonsfilen, og være forberedt på å gjenoppbygge Hybrid Data Security datasenter hvis det oppstår en katastrofal feil. | ||
8 | Kontroller at brannmurkonfigurasjonen tillater tilkobling for Hybrid Data Security-nodene som angitt i Krav til ekstern tilkobling . | ||
9 | Installer Docker (https://www.docker.com ) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til den på http://127.0.0.1:8080. Du bruker Docker-forekomsten til å laste ned og kjøre installasjonsverktøyet for HDS, som bygger den lokale konfigurasjonsinformasjon for alle Hybrid Data Security-nodene. Organisasjonen din kan trenge en Docker Desktop-lisens. Se Krav til Docker-skrivebord hvis du vil ha mer informasjon. Hvis du vil installere og kjøre HDS-installasjonsverktøyet, må den lokale maskinen ha tilkoblingsmulighetene som er angitt i Krav til ekstern tilkobling . | ||
10 | Hvis du integrerer en proxy med Hybrid Data Security, må du kontrollere at den oppfyller Krav til proxy-server . | ||
11 | Hvis organisasjonen din bruker katalogsynkronisering, oppretter du en gruppe i Active Directory som heter
|
Oppgaveflyt for distribusjon av hybrid datasikkerhet
Før du starter
1 |
Last ned OVA-filen til din lokale maskin for senere bruk. | ||
2 | Opprett en konfigurasjons-ISO for HDS-vertene Bruk HDS-oppsettverktøyet til å opprette en ISO konfigurasjonsfil for hybriddatasikkerhetsnodene. | ||
3 |
Opprett en virtuell maskin fra OVA-filen og utfør den første konfigurasjonen, for eksempel nettverksinnstillinger.
| ||
4 | Konfigurer den virtuelle hybriddatasikkerhetsmaskinen Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon. | ||
5 | Last opp og monter HDS-konfigurasjons-ISO Konfigurer den virtuelle maskinen fra ISO konfigurasjonsfil du opprettet med HDS-installasjonsverktøyet. | ||
6 | Konfigurere HDS-noden for proxy-integrasjon Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du proxy-typen du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig. | ||
7 | Registrer den første noden i klyngen Registrer den virtuelle maskinen med Cisco Webex skyen som en hybrid datasikkerhetsnode. | ||
8 | Opprett og registrer flere noder Fullfør klyngeoppsettet. | ||
9 | Kjør en prøveversjon og gå til produksjon (neste kapittel) Frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert. |
Last ned installasjonsfiler
1 | Logg påhttps://admin.webex.com , og klikk deretter Tjenester . | ||||
2 | Finn Hybrid Data Security-kortet under Hybridtjenester, og klikk deretter på Konfigurer . Hvis kortet er deaktivert eller du ikke ser det, kontakter du kontoteamet ditt eller partnerorganisasjonen din. Gi dem kontonummeret ditt, og be om å aktivere organisasjonen din for Hybrid Data Security. Hvis du vil finne kontonummeret, klikker du på tannhjulet øverst til høyre, ved siden av organisasjonsnavnet.
| ||||
3 | Velg Nei for å indikere at du ikke har satt opp noden ennå, og klikk deretter på Neste . Nedlastingen av OVA-filen begynner automatisk. Lagre filen et sted på maskinen.
| ||||
4 | Du kan også klikke på Åpne Distribusjonsveiledning for å sjekke om det finnes en nyere versjon av denne veiledningen. |
Opprett en konfigurasjons-ISO for HDS-vertene
Konfigurasjonsprosessen for Hybrid Data Security oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere Hybrid Data Security-verten.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariabler når du henter frem Docker-beholderen i trinn 5 . Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen når du gjør konfigurasjonsendringer, for eksempel disse:
Databaselegitimasjon
Sertifikatoppdateringer
Endringer i retningslinjene for autorisasjon
Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du PostgreSQL- eller SQL Server-distribusjonen for TLS.
1 | På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende:
| ||||||||||||
3 | Når du blir bedt om passord, skriver du inn denne hashen:
| ||||||||||||
4 | Last ned det nyeste stabile bildet for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:
Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080». | ||||||||||||
6 |
Bruk en nettleser til å gå til den lokale verten, Verktøyet bruker denne første oppføringen i brukernavnet til å angi riktig miljø for den kontoen. Verktøyet viser deretter standard påloggingsmelding. | ||||||||||||
7 | Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Control Hub-kundeadministratoren, og klikker deretter på Logg inn for å gi tilgang til de nødvendige tjenestene for Hybrid Data Security. | ||||||||||||
8 | På oversiktssiden for installasjonsverktøy klikker du på Kom i gang . | ||||||||||||
9 | På ISO-import side, har du disse alternativene:
| ||||||||||||
10 | Kontroller at X.509-sertifikatet oppfyller kravene i Krav til X.509-sertifikater .
| ||||||||||||
11 | Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret: | ||||||||||||
12 | Velg en Tilkoblingsmodus for TLS-database :
Når du laster opp rotsertifikat (om nødvendig), og klikker Fortsett tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserver. Verktøyet bekrefter også sertifikatunderskriveren og vertsnavnet, hvis det er aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan det hende at HDS-nodene kan opprette TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.) | ||||||||||||
13 | Konfigurer Syslogd-serveren på siden Systemlogger: | ||||||||||||
14 | (Valgfritt) Du kan endre standardverdi for noen databasetilkoblingsparametere i Avanserte innstillinger . Vanligvis er denne parameteren den eneste du kanskje vil endre:
| ||||||||||||
15 | Klikk på Fortsett på Tilbakestill passordet for tjenestekontoer skjermen. Passord for tjenestekontoer har en levetid på ni måneder. Bruk denne skjermen når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem for å ugyldiggjøre tidligere ISO-filer. | ||||||||||||
16 | Klikk på Last ned ISO-fil . Lagre filen på et sted som er lett å finne. | ||||||||||||
17 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||||||||||||
18 | Hvis du vil avslutte konfigureringsverktøyet, skriver du inn |
Hva nå?
Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.
Vi har aldri en kopi av denne nøkkelen, og kan ikke hjelpe hvis du mister den. |
Installer HDS Host OVA
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten. | ||||||
2 | Velg Fil > Distribuer OVF-mal . | ||||||
3 | Angi plasseringen av OVA-filen du lastet ned tidligere i veiviseren, og klikk deretter på Neste . | ||||||
4 | På Velg et navn og en mappe side, skriver du inn en Navn på virtuell maskin for noden (for eksempel «HDS_ Node_ 1"), velg et sted der nodedistribusjonen for den virtuell maskin kan ligge, og klikk deretter Neste . | ||||||
5 | På Velg en databehandlingsressurs -siden, velg måldataressursen, og klikk deretter Neste . Det kjøres en valideringskontroll. Når den er fullført, vises maldetaljene. | ||||||
6 | Kontroller maldetaljene, og klikk deretter på Neste . | ||||||
7 | Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon side, klikk 4 CPUer og klikk deretter Neste . | ||||||
8 | På Velg lagring side, klikk Neste for å godta standard diskformat og retningslinjer for VM-lagring. | ||||||
9 | På Velg nettverk -siden, velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til den virtuelle maskinen. | ||||||
10 | På Tilpass mal side, konfigurerer du følgende nettverksinnstillinger:
Hvis du foretrekker det, kan du hoppe over konfigurasjonen av nettverksinnstillinger og følge trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen for å konfigurere innstillingene fra nodekonsollen.
| ||||||
11 | Høyreklikk på den virtuelle noden, og velg deretter .Hybrid Data Security-programvaren installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden. Feilsøkingstips Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen ved første oppstart, der du ikke kan logge på. |
Konfigurer den virtuelle hybriddatasikkerhetsmaskinen
Bruk denne fremgangsmåten til å logge på VM-konsollen for Hybrid Data Security-noden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.
1 | I VMware vSphere-klienten velger du den virtuelle hybriddatasikkerhetsnoden og velger Konsoll -fanen. Den virtuelle maskinen starter opp, og det vises en påloggingsmelding. Hvis påloggingsmeldingen ikke vises, trykker du på Gå inn .
|
2 | Bruk følgende standard påloggingsinformasjon og passord for å logge på og endre legitimasjonen: Siden du logger på den virtuelle maskinen for første gang, må du endre administrator . |
3 | Hvis du allerede har konfigurert nettverksinnstillinger i Installer HDS Host OVA , hopper du over resten av denne prosedyren. Ellers velger du på hovedmeny Rediger konfigurasjon alternativet. |
4 | Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke. |
5 | (Valgfritt) Endre vertsnavnet, domenet eller NTP-server(e) om nødvendig for å samsvare med nettverkspolicyen din. Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet. |
6 | Lagre nettverkskonfigurasjon og start den virtuelle maskinen på nytt slik at endringene trer i kraft. |
Last opp og monter HDS-konfigurasjons-ISO
Før du starter
Siden ISO-filen inneholder hovednøkkelen, bør den bare vises på en «trenger å vite»-basis, for tilgang for de virtuelle hybriddatasikkerhets-ene og alle administratorer som måtte trenge å gjøre endringer. Kontroller at bare disse administratorene har tilgang til datalageret.
1 | Last opp ISO-filen fra datamaskinen: |
2 | Monter ISO-filen: |
Hva nå?
Hvis IT-retningslinjene krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene dine har registrert konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.
Konfigurere HDS-noden for proxy-integrasjon
Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybriddatasikkerhet. Hvis du velger en gjennomsiktig inspeksjonsproxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet og feilsøke eventuelle problemer.
Før du starter
Se Proxy-støtte hvis du vil ha en oversikt over proxy-alternativene som støttes.
1 | Angi URL-adressen til oppsett av HDS-node |
2 | Gå til Klareringslager og proxy, og velg deretter et alternativ:
Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en HTTP-eksplisitt proxy med enkel godkjenning eller en eksplisitt HTTPS-proxy. |
3 | Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen. Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på vinkeltegnpilen ved navnet på sertifikatutstederen for å få flere detaljer, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt. |
4 | Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen. Hvis tilkoblingstesten mislykkes, ser du en feilmelding som viser årsaken og hvordan du kan løse problemet. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne betingelsen forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene, og deretter ser du Slå av blokkert ekstern DNS-oppløsningsmodus . |
5 | Etter at tilkoblingstesten blir bestått, kun for eksplisitt proxy satt til https, setter du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen trer i kraft etter 15 sekunder. |
6 | Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en HTTP-eksplisitt proxy), les ledeteksten, og klikk deretter på Installer hvis du er klar. Noden starter på nytt i løpet av noen få minutter. |
7 | Når noden har startet på nytt, logger du på igjen om nødvendig, og deretter åpner du Oversikt-siden for å kontrollere tilkoblingskontrollene for å sikre at alle har grønn status. Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det oppstår tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen. |
Registrer den første noden i klyngen
Når du registrerer den første noden, oppretter du en klynge som noden er tilordnet. En klynge inneholder én eller flere noder distribuert for å gi redundans.
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Logg på https://admin.webex.com. |
2 | Fra menyen på venstre side av skjermen velger du Tjenester . |
3 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Konfigurer . Siden Registrer hybrid node for datasikkerhet vises.
|
4 | Velg Ja for å indikere at du har satt opp noden og er klar til å registrere den, og klikk deretter på Neste . |
5 | I det første feltet skriver du inn et navn på klyngen du vil tilordne Hybrid Data Security-noden til. Vi anbefaler at du gir navn til en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: «San Francisco» eller «New York» eller «Dallas» |
6 | I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste . Denne IP-adresse eller FQDN må samsvare med IP-adresse eller vertsnavnet og domenet du brukte i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . Det vises en melding som angir at du kan registrere noden til Webex.
|
7 | Klikk på Gå til Node . |
8 | Klikk på Fortsett i advarselsmelding. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til Webex-organisasjonen din for å få tilgang til noden.
|
9 | Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett . Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
|
10 | Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden. På Hybrid datasikkerhet side, vises den nye klyngen som inneholder noden du registrerte. Noden vil automatisk laste ned den nyeste programvaren fra skyen.
|
Opprett og registrer flere noder
På dette tidspunktet er de virtuelle sikkerhetskopiene-ene du opprettet i Fullfør forutsetningene for hybrid datasikkerhet er standby-verter som bare brukes i tilfelle katastrofegjenoppretting; de er ikke registrert i systemet før da. Hvis du vil ha mer informasjon, se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus . |
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA . |
2 | Konfigurer den første konfigurasjonen på den nye virtuelle maskinen, og gjenta trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . |
3 | Gjenta trinnene i den nye VM-en Last opp og monter HDS-konfigurasjons-ISO . |
4 | Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrering etter behov for den nye noden. |
5 | Registrer noden. Noden din er registrert. Merk at frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.
|
Hva nå?
Oppgaveflyt fra prøveversjon til produksjon
Når du har konfigurert en Hybrid Data Security-klynge, kan du starte en pilot, legge til brukere i den og begynne å bruke den til testing og bekreftelse av distribusjonen som forberedelse til overgang til produksjon.
Før du starter
1 | Hvis det er aktuelt, synkroniserer du Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge |
2 |
Start en prøveversjon. Frem til du gjør denne oppgaven, genererer nodene en alarm som indikerer at tjenesten ennå ikke er aktivert. |
3 | Test hybriddistribusjonen av datasikkerhet Kontroller at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen. |
4 | Overvåke helse for hybrid datasikkerhet Sjekk status, og konfigurer e-postvarsler for alarmer. |
5 | |
6 | Fullfør prøveperioden med én av følgende handlinger: |
Aktiver prøveversjon
Før du starter
Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup
gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.
1 | Logg påhttps://admin.webex.com , og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Start prøveversjonen . Tjenestestatusen endres til prøveversjonsmodus.
|
4 | Klikk på Legg til brukere og angi e-postadresse til én eller flere brukere for å prøve å bruke Hybrid Data Security-nodene for kryptering og indekseringstjenester. (Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory til å administrere prøvegruppen, |
Test hybriddistribusjonen av datasikkerhet
Før du starter
Konfigurer Hybrid Data Security-distribusjonen.
Aktiver prøveversjonen, og legg til flere prøveversjonsbrukere.
Kontroller at du har tilgang til syslog for å bekrefte at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.
1 | Taster for et gitt område angis av oppretteren av området. Logg på Webex-appen som én av pilotbrukerne, og opprett deretter et område og inviter minst én pilotbruker og én ikke-pilotbruker.
| ||
2 | Send meldinger til det nye området. | ||
3 | Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til Hybrid Data Security-distribusjonen. |
Overvåke helse for hybrid datasikkerhet
1 | I Kontrollhub , velger du Tjenester fra menyen på venstre side av skjermen. |
2 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Innstillinger . Siden Innstillinger for hybrid datasikkerhet vises.
|
3 | I delen E-postvarsler skriver du inn én eller flere e-postadresser atskilt med komma, og trykker på Gå inn . |
Legg til eller fjern brukere fra prøveversjonen
Hvis du fjerner en bruker fra prøveversjonen, vil brukerens klient be om å opprette nøkler og nøkler fra KMS-skyen i stedet for KMS-en din. Hvis klienten trenger en nøkkel som er lagret på KMS-en, vil KMS-en i skyen hente den på brukerens vegne.
Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory (i stedet for denne prosedyren) til å administrere prøvegruppen, HdsTrialGroup
; du kan vise gruppemedlemmene i Control Hub, men kan ikke legge til eller fjerne dem.
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Prøvemodus i området Tjenestestatus klikker du på Legg til brukere , eller klikk vise og redigere for å fjerne brukere fra prøveversjonen. |
4 | Skriv inn e-postadresse til én eller flere brukere som skal legges til, eller klikk på X av en bruker-ID for å fjerne brukeren fra prøveversjonen. Klikk deretter på Lagre. |
Gå fra prøveversjon til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Flytt til produksjon . |
4 | Bekreft at du vil flytte alle brukerne til produksjon. |
Avslutt prøveversjonen uten å gå til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I Deaktiver-delen klikker du på Deaktiver . |
4 | Bekreft at du vil deaktivere tjenesten og avslutte prøveversjonen. |
Behandle HDS-distribusjon
Bruk oppgavene som er beskrevet her, til å administrere Hybrid Data Security-distribusjonen.
Angi tidsplan for klyngeoppgradering
Slik angir du oppgraderingsplanen:
1 | Logg på Kontrollhub . |
2 | På Oversikt-siden, under Hybridtjenester, velger du Hybrid datasikkerhet . |
3 | Velg klyngen på siden Hybriddatasikkerhetsressurser. |
4 | I Oversikt-panelet til høyre, under Klyngeinnstillinger, velger du klyngenavnet. |
5 | På Innstillinger-siden, under Oppgradering, velger du tid og tidssone for oppgraderingsplanen. Merk: Under tidssone vises dato og klokkeslett for neste tilgjengelige oppgradering. Du kan om nødvendig utsette oppgraderingen til neste dag ved å klikke på Utsette . |
Endre nodekonfigurasjonen
Endring av x.509-sertifikater på grunn av utløpsdato eller andre årsaker.
Vi støtter ikke endring av CN- domenenavn for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.
Oppdaterer databaseinnstillinger for å endre til en replika av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt vei. Hvis du vil bytte databasemiljø, starter du en ny distribusjon av Hybrid Data Security.
Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.
Av sikkerhetsmessige årsaker bruker Hybriddata-sikkerhet passord som har en levetid på ni måneder på tjenestekontoer. HDS-installasjonsverktøyet genererer disse passordene, og du distribuerer dem til hver av HDS-nodene dine som en del av ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløp, mottar du et «Varsel om utløp av passord» fra Webex-teamet, der du blir bedt om å tilbakestille passordet for maskinkontoen. (E-posten inneholder teksten «Bruk maskinkontoens API til å oppdatere passordet.») Hvis passordene ikke er utløpt ennå, gir verktøyet deg to alternativer:
Myk tilbakestilling – Det gamle og det nye passordet fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.
Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.
Hvis passordene dine utløper uten en tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.
Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du henter opp Docker-beholderen i 1.e . Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO-en inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO-en når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i autorisasjonspolicy.
1 | Kjør HDS-konfigureringsverktøyet via Docker på en lokal maskin. |
2 | Hvis du kun kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den via den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, se Opprett og registrer flere noder . |
3 | For eksisterende HDS-noder som kjører den eldre konfigurasjonsfil, monterer du ISO-filen. Utfør følgende prosedyre på hver node etter tur, og oppdater hver node før du slår av neste node: |
4 | Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen. |
Deaktiver blokkert ekstern DNS-oppløsningsmodus
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modusen blokkert ekstern DNS-oppløsning.
Hvis nodene kan løse offentlige DNS-navn via interne DNS-servere, kan du deaktivere denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.
Før du starter
1 | Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/-oppsett, for eksempel https://192.0.2.0/setup),angi administratorlegitimasjonen du konfigurerte for noden, og klikk deretter på Logg på. |
2 | Gå til Oversikt (standardsiden). Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja. |
3 | Gå til siden Klareringslager og proxy. |
4 | Klikk på Kontroller proxy-tilkobling. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og den vil forbli i denne modusen. Ellers, etter at du har startet noden på nytt og gått tilbake til Oversikt-siden, bør Blokkert ekstern DNS-oppløsning settes til Nei. |
Hva nå?
Fjerne en node
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuell maskin. |
2 | Fjern noden: |
3 | Slett den virtuelle maskinen i vSphere-klienten. (I venstre navigasjonsrute høyreklikk du på den virtuelle maskinen og klikker Slett .) Hvis du ikke sletter den virtuelle maskinen, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke den virtuelle maskinen til å få tilgang til sikkerhetsdataene dine. |
Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus
Den mest kritiske tjenesten Hybrid Data Security-klyngen tilbyr, er opprettelse og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet Hybrid Data Security, rutes nye forespørsler om å opprette nøkkel til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til alle brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.
Siden klyngen utfører den kritiske funksjonen med å oppgi disse nøklene, er det viktig at klyngen fortsetter å kjøre og at forsvarlige sikkerhetskopier opprettholdes. Tap av Hybrid Data Security-databasen eller av ISO-konfigurasjonen som ble brukt for skjemaet, vil føre til TAP av kundeinnhold som ikke kan gjenopprettes. Følgende fremgangsmåter er obligatoriske for å forhindre slikt tap:
Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenter blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til datasenter i ventemodus.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene . |
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger |
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor eller fjerner
|
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. |
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. |
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . |
7 |