- Hjem
- /
- Artikkel
Distribusjonsveiledning for Webex hybriddatasikkerhet
Ny og endret informasjon
Dato | Endringer gjort | ||
---|---|---|---|
20. oktober 2023 |
| ||
7. august 2023 |
| ||
23. mai 2023 |
| ||
6. desember 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop må kjøre et installasjonsprogram før du kan installere HDS-noder. Se Krav til Docker-skrivebord . | ||
24. juni 2021 | Merk at du kan bruke den private nøkkelfilen og CSR-en på nytt for å be om et annet sertifikat. Se Bruk OpenSSL til å generere en PKCS12-fil for detaljer. | ||
30. april 2021 | Endret VM-kravet for lokal harddiskplass til 30 GB. Se Krav til virtuell vert for detaljer. | ||
24. februar 2021 | HDS-installasjonsverktøyet kan nå kjøres bak en proxy. Se Opprett en konfigurasjons-ISO for HDS-vertene for detaljer. | ||
2. februar 2021 | HDS kan nå kjøres uten en montert ISO-fil. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer. | ||
11. januar 2021 | Lagt til informasjon om HDS-oppsettverktøy og proxyer til Opprett en konfigurasjons-ISO for HDS-vertene . | ||
13. oktober 2020 | Oppdatert Last ned installasjonsfiler . | ||
8. oktober 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med kommandoer for FedRAMP-miljøer. | ||
14. august 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med endringer i påloggingsprosessen. | ||
5. august 2020 | Oppdatert Test hybriddistribusjonen av datasikkerhet for endringer i loggmeldinger. Oppdatert Krav til virtuell vert for å fjerne maksimalt antall verter. | ||
16. juni 2020 | Oppdatert Fjerne en node for endringer i Control Hub-grensesnittet. | ||
4. juni 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for endringer i de avanserte innstillingene du måtte angi. | ||
29. mai 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for å vise at du også kan bruke TLS med SQL Server-databaser, brukergrensesnittendringer og andre presiseringer. | ||
5. mai 2020 | Oppdatert Krav til virtuell vert for å vise nye krav til ESXi 6.5. | ||
21. april 2020 | Oppdatert Krav til ekstern tilkobling med nye Americas CI-verter. | ||
1. april 2020 | Oppdatert Krav til ekstern tilkobling med informasjon om regionale CI-verter. | ||
20. februar 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med informasjon om det nye, valgfrie skjermbildet for avanserte innstillinger i HDS-oppsettverktøyet. | ||
4. februar 2020 | Oppdatert Krav til proxy-server . | ||
16. desember 2019 | Klargjorde kravet om at blokkert ekstern DNS-oppløsningsmodus skal fungere i Krav til proxy-server . | ||
19. november 2019 | La til informasjon om blokkert ekstern DNS-oppløsningsmodus i følgende deler: | ||
8. november 2019 | Du kan nå konfigurere nettverksinnstillinger for en node mens du distribuerer OVA i stedet for etterpå. Oppdaterte følgende deler tilsvarende:
| ||
6. september 2019 | Lagt til SQL Server Standard i Krav til databaseserver . | ||
29. august 2019 | Lagt til Konfigurer Squid-proxyer for hybrid datasikkerhet vedlegg med veiledning om konfigurering av Squid-proxyer til å ignorere websocket-trafikk for riktig drift. | ||
20. august 2019 | Lagt til og oppdaterte deler for å dekke proxy-støtte for hybrid datasikkerhetsnodekommunikasjon til Webex-skyen. Hvis du bare vil ha tilgang til proxy-støtteinnholdet for en eksisterende distribusjon, kan du se Proxy-støtte for hybrid datasikkerhet og Webex-videonett hjelpeartikkel. | ||
13. juni 2019 | Oppdatert Oppgaveflyt fra prøveversjon til produksjon med en påminnelse om å synkronisere HdsTrialGroup gruppeobjekt før du starter en prøveversjon hvis organisasjonen bruker katalogsynkronisering. | ||
6. mars 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. mai 2018 | Endret terminologi for å gjenspeile endringen av varemerke for Cisco Spark:
| ||
11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
2. november 2017 |
| ||
18. august 2017 | Først publisert |
Oversikt over hybrid datasikkerhet
Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er ende-til-ende-kryptering av innhold, aktivert av Webex App-klienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografinøklene som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.
Som standard får alle Webex App-kunder ende-til-ende-kryptering med dynamiske nøkler lagret i KMS-skyen, i Ciscos sikkerhetsområde. Hybrid datasikkerhet flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, slik at ingen andre enn deg har nøklene til ditt krypterte innhold.
Arkitektur for sikkerhetsriket
Webex-skyarkitekturen skiller forskjellige typer tjenester i separate områder, eller klareringsdomener, som vist nedenfor.
For å forstå Hybrid Data Security ytterligere, la oss først se på dette rene skysaken, der Cisco leverer alle funksjoner i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan korreleres direkte med personlig informasjon, for eksempel e-postadresse, er logisk og fysisk atskilt fra sikkerhetsområdet i datasenter B. Begge er igjen atskilt fra området der kryptert innhold til slutt lagres , i datasenter C.
I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og som er autentisert med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:
Klienten oppretter en sikker tilkobling med nøkkelbehandlingstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikker tilkobling bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en AES-256-hovednøkkel.
Meldingen krypteres før den forlater klienten. Klienten sender den til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe til med fremtidige søk etter innholdet.
Den krypterte meldingen sendes til samsvarstjenesten for samsvarskontroll.
Den krypterte meldingen lagres i lagringsområdet.
Når du distribuerer Hybrid Data Security, flytter du sikkerhetsområdets funksjoner (KMS, indeksering og samsvar) til det lokale datasenter. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos riker.
Samarbeide med andre organisasjoner
Brukere i organisasjonen din kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen (fordi det ble opprettet av en av brukerne), sender KMS-en nøkkelen til klienten over en ECDH-sikker kanal. Når en annen organisasjon eier nøkkelen for området, ruter KMS-en imidlertid forespørselen ut til Webex-skyen gjennom en egen ECDH-kanal for å hente nøkkelen fra riktig KMS, og returnerer deretter nøkkelen til brukeren på den opprinnelige kanalen.
KMS-tjenesten som kjøres på organisasjon A, validerer tilkoblingene til KMS-er i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet ditt for detaljer om generering av et x.509-sertifikat som skal brukes med Hybrid Data Security-distribusjonen.
Forventninger for distribusjon av hybrid datasikkerhet
En Hybrid Data Security-distribusjon krever betydelig kundeengasjement og en bevissthet om risikoene som følger med å eie krypteringsnøkler.
Hvis du vil distribuere Hybrid Data Security, må du oppgi:
Et sikkert datasenter i et land som er et støttet plassering for Cisco Webex Teams planene .
Utstyret, programvaren og nettverkstilgangen som er beskrevet i Forbered miljøet ditt .
Fullstendig tap av enten konfigurasjons-ISO-en du bygger for Hybrid Data Security eller databasen du oppgir, vil føre til tap av nøklene. Tap av nøkkel forhindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:
Behandle sikkerhetskopieringen og gjenopprettingen av databasen og konfigurasjonen av ISO.
Vær forberedt på å utføre rask gjenoppretting ved katastrofegjenoppretting hvis det oppstår en katastrofe, for eksempel en databasediskfeil eller en datasenter .
Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon. |
Konfigurasjonsprosess på høyt nivå
Dette dokumentet dekker oppsett og administrasjon av en Hybrid Data Security-distribusjon:
Konfigurer Hybrid Data Security – Dette inkluderer klargjøring av nødvendig infrastruktur og installasjon av Hybrid Data Security-programvare, testing av distribusjonen med et undersett av brukere i prøveversjonsmodus, og, når testingen er fullført, overgang til produksjon. Dette konverterer hele organisasjonen til å bruke Hybrid Data Security-klyngen for sikkerhetsfunksjoner.
Oppsett-, prøve- og produksjonsfasene dekkes i detalj i de neste tre kapitlene.
Vedlikeholde Hybrid Data Security-distribusjonen – Webex-skyen gir automatisk løpende oppgraderinger. IT-avdelingen din kan tilby nivå 1-støtte for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke skjermvarsler og konfigurere e-postbaserte varsler i Control Hub.
Forstå vanlige varsler, feilsøkingstrinn og kjente problemer –Hvis du får problemer med å distribuere eller bruke Hybrid Data Security, kan det siste kapitlet i denne veiledningen og tillegget Kjente problemer hjelpe deg med å finne ut og løse problemet.
Hybrid distribusjonsmodell for datasikkerhet
I foretningsdata distribuerer du Hybrid Data Security som én enkelt klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen gjennom sikre websockets og sikker HTTP.
Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere den virtuelle enheten på de virtuelle maskinene du oppgir. Du bruker installasjonsverktøyet for HDS til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Hybrid Data Security-klyngen bruker den medfølgende Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)
Det minste antallet noder du kan ha i en klynge, er to. Vi anbefaler minst tre, og du kan ha opptil fem. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)
Alle nodene i en klynge har tilgang til det samme nøkkeldatalageret og loggaktiviteten til den samme syslog-serveren. Nodene i seg selv er statsløse og håndterer nøkkelforespørsler på en roundrobin-måte, som anvist av skyen.
Nodene blir aktive når du registrerer dem i Control Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.
Vi støtter bare én klynge per organisasjon.
Prøveversjonsmodus for hybrid datasikkerhet
Etter at du har satt opp en Hybrid Data Security-distribusjon, kan du først prøve den med et sett med pilotbrukere. I løpet av prøveperioden bruker disse brukerne det lokale Hybrid Data Security-domenet ditt for krypteringsnøkler og andre sikkerhetstjenester. De andre brukerne dine fortsetter å bruke sikkerhetsområdet for skyen.
Hvis du bestemmer deg for ikke å fortsette med distribusjonen i løpet av prøveperioden og deaktivere tjenesten, mister pilotbrukerne og alle brukere de har samhandlet med ved å opprette nye områder i løpet av prøveperioden tilgangen til meldingene og innholdet. De vil se «Denne meldingen kan ikke dekrypteres» i Webex-appen.
Hvis du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, og du er klar til å utvide Hybrid Data Security til alle brukerne, flytter du distribusjonen til produksjon. Pilotbrukere fortsetter å ha tilgang til nøklene som var i bruk under prøveversjonen. Du kan imidlertid ikke gå frem og tilbake mellom produksjonsmodus og den opprinnelige prøveversjonen. Hvis du må deaktivere tjenesten, for eksempel for å utføre katastrofegjenoppretting, må du starte en ny prøveversjon og konfigurere settet med pilotbrukere for den nye prøveversjonen før du går tilbake til produksjonsmodus når du aktiverer den. Hvorvidt brukere beholder tilgangen til data på dette tidspunktet, avhenger av om du har vedlikeholdt sikkerhetskopier av datalager og ISO konfigurasjonsfil for Hybrid Data Security-nodene i klyngen.
Datasenter i ventemodus for katastrofegjenoppretting
Under distribusjonen konfigurerer du et sikkert datasenter i ventemodus . I tilfelle en datasenter , kan du feile distribusjonen manuelt over til datasenter i ventemodus .
Databasene til det aktive datasenteret og datasenteret i ventemodus er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover. ISO-filen til datasenter for ventemodus oppdateres med flere konfigurasjoner som sikrer at nodene registreres i organisasjonen, men ikke håndterer trafikk. Derfor forblir nodene i standby datasenter alltid oppdatert med den nyeste versjonen av HDS-programvaren.
De aktive hybriddatasikkerhetsnodene må alltid være i samme datasenter som den aktive databaseserver. |
Konfigurere datasenter i ventemodus for katastrofegjenoppretting
Følg trinnene nedenfor for å konfigurere ISO-filen for datasenter i ventemodus:
Før du starter
datasenter i ventemodus skal speile produksjonsmiljøet til virtuelle maskiner og en sikkerhetskopi av PostgreSQL- eller Microsoft SQL Server-database. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. (Se Datasenter i ventemodus for katastrofegjenoppretting for en oversikt over denne failover-modellen.)
Kontroller at databasesynkronisering er aktivert mellom databasen med aktive og passive klyngenoder.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .
| ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor for å plassere noden i passiv modus. I denne modusen vil noden være registrert i organisasjonen og koblet til skyen, men vil ikke håndtere trafikk.
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
Etter konfigurering passiveMode
i ISO-filen og lagrer den, kan du opprette en annen kopi av ISO-filen uten passiveMode
konfigurasjonen og lagre den på et sikkert sted. Denne kopien av ISO-filen uten passiveMode
konfigurert kan hjelpe i en rask failover-prosess under katastrofegjenoppretting. Se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus for den detaljerte failover-prosedyren.
Proxy-støtte
Hybriddatasikkerhet støtter eksplisitte, gjennomsiktige proxyer for inspeksjon og ikke-inspeksjon. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et grensesnitt for plattformadministrasjon på nodene for sertifikatadministrasjon og kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.
Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:
Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Klareringslager og proxy-konfigurasjon til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig ikke-inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse, og bør ikke trenge endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig tunnelering eller inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjon er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de klarerer proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer om hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og hvilken godkjenningsplan som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon for hver node:
Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.
Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.
Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:
HTTP – Viser og kontrollerer alle forespørsler som klienten sender.
HTTPS – Gir en kanal til serveren. Klienten mottar og godkjenner serverens sertifikat.
Godkjenningstype – Velg blant følgende godkjenningstyper:
Ingen – Ingen ytterligere godkjenning er nødvendig.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Grunnleggende – Brukes for en HTTP-brukeragent til å angi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.
Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Eksempel på noder og proxy for hybriddatasikkerhet
Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og HTTPS eksplisitt inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.
Blokkert ekstern DNS-oppløsningsmodus (eksplisitt proxy-konfigurasjoner)
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsningsmodus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.
Krav for hybrid datasikkerhet
Lisenskrav for Cisco Webex
Slik distribuerer du hybrid datasikkerhet:
Du må ha Pro Pack for Cisco Webex Control Hub. (Sehttps://www.cisco.com/go/pro-pack .)
Krav til Docker-skrivebord
Før du installerer HDS-nodene, må du ha Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig lisensieringsmodellen. Organisasjonen din kan kreve et betalt abonnement for Docker Desktop. Hvis du vil ha mer informasjon, se Docker-blogginnlegget, « Docker oppdaterer og utvider produktabonnementene våre «.
Krav til X.509-sertifikater
sertifikatkjede må oppfylle følgende krav:
Krav | Detaljer |
---|---|
| Som standard klarerer vi sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) påhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN-en trenger ikke å være tilgjengelig eller være en direktevert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel CN kan ikke inneholde en * (jokertegn). CN brukes til å bekrefte hybriddatasikkerhetsnodene til Webex App-klienter. Alle hybriddatasikkerhetsnodene i klyngen bruker det samme sertifikatet. KMS-en din identifiserer seg ved hjelp av CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene. Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN- domenenavn. Velg et domene som kan gjelde for både prøveversjonen og produksjonsdistribusjonene. |
| KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjoners KMS-er. |
| Du kan bruke et konverteringsprogram som OpenSSL til å endre sertifikatets format. Du må angi passordet når du kjører HDS-installasjonsverktøyet. |
KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifiseringsinstanser krever at utvidede begrensninger for nøkkelbruk brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.
Krav til virtuell vert
De virtuelle vertene som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen, har følgende krav:
Minst to separate verter (tre anbefales) plassert i det samme sikre datasenter
VMware ESXi 6.5 (eller nyere) er installert og kjører.
Du må oppgradere hvis du har en tidligere versjon av ESXi.
Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokal harddiskplass per server
Krav til databaseserver
Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene, når de er installert, oppretter databaseskjemaet. |
Det finnes to alternativer for databaseserver. Kravene for hver av dem er som følger:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) | Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) |
HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserver:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC-driver 42.2.5 | SQL Server JDBC-driver 4.6 Denne driverversjonen støtter SQL Server Always On ( Alltid på failover-klyngeforekomster og Alltid på tilgjengelighetsgrupper ). |
Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server
Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:
HDS-nodene, Active Directory -infrastrukturen og MS SQL Server må alle være synkronisert med NTP.
Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.
DNS-serverne du oppgir til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).
Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et Service Principal Name (SPN) i Active Directory. Se Registrer et hovednavn for tjeneste for Kerberos Connections .
HDS-oppsettverktøyet, HDS-startprogrammet og lokal KMS må alle bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN når de ber om tilgang med Kerberos-autentisering.
Krav til ekstern tilkobling
Konfigurer brannmuren til å tillate følgende tilkoblingsmuligheter for HDS-programmene:
Applikasjon | Protokoll | Port | Veibeskrivelse fra app | Destinasjon |
---|---|---|---|---|
Hybride datasikkerhetsnoder | TCP | 443 | Utgående HTTPS og WSS |
|
HDS-oppsettverktøy | TCP | 443 | Utgående HTTPS |
|
Hybrid Data Security-nodene fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmur tillater de nødvendige utgående tilkoblingene til domenemålene i den foregående tabellen. For tilkoblinger som går inn til Hybrid Data Security-nodene, skal ingen porter være synlige fra Internett. I datasenter ditt trenger klienter tilgang til hybriddatasikkerhetsnodene på TCP-portene 443 og 22 til administrative formål. |
URL-adressene for CI-vertene (Common Identity) er regionsspesifikke. Dette er de nåværende CI-vertene:
Region | Felles URL-adresser for vertsidentitet |
---|---|
Nord- og Sør-Amerika |
|
Den europeiske union |
|
Canada |
|
Krav til proxy-server
Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene dine for hybriddatasikkerhet.
Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).
Eksplisitt proxy – Squid.
Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av WebSocket (wss:) tilkoblinger. Hvis du vil omgå dette problemet, kan du se Konfigurer Squid-proxyer for hybrid datasikkerhet .
Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:
Ingen godkjenning med HTTP eller HTTPS
Enkel godkjenning med HTTP eller HTTPS
Sammendragsgodkjenning kun med HTTPS
Hvis du vil ha en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne håndboken beskriver hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnoder.
Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.
Proxyer som inspiserer nettrafikk, kan forstyrre WebSocket-tilkoblinger. Hvis dette problemet oppstår, kan du omgå (ikke inspisere) trafikk til
wbx2.com
ogciscospark.com
vil løse problemet.
Fullfør forutsetningene for hybrid datasikkerhet
1 | Kontroller at Webex-organisasjonen din er aktivert for Pro Pack for Cisco Webex Control Hub, og få legitimasjonen til en konto med fulle administrator . Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen. | ||
2 | Velg et domenenavn for HDS-distribusjonen (for eksempel | ||
3 | Klargjør identiske virtuelle verter som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen. Du trenger minst to separate verter (tre anbefales) plassert i det samme sikre datasenter, som oppfyller kravene i Krav til virtuell vert . | ||
4 | Klargjør databaseserver som skal fungere som datalager for klyngen, i henhold til Krav til databaseserver . databaseserver må være lokalisert i det sikre datasenter med de virtuelle vertene. | ||
5 | Hvis du vil ha rask gjenoppretting ved katastrofegjenoppretting, konfigurerer du et sikkerhetskopimiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet for virtuelle datamaskiner og en databaseserver. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. | ||
6 | Konfigurer en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadresse og syslog-porten (standard er UDP 514). | ||
7 | Opprett en sikker sikkerhetskopieringspolicy for Hybrid Data Security-nodene, databaseserver og syslog-verten. For å forhindre tap av ugjenopprettelig data må du som et minimum sikkerhetskopiere databasen og ISO-konfigurasjonsfilen som er generert for Hybrid Data Security-nodene.
Webex App-klienter hurtigbufrer nøklene sine, så et driftsbrudd vil kanskje ikke merkes umiddelbart, men vil bli tydelig over tid. Selv om midlertidige strømbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopier tilgjengelig) av enten databasen eller ISO-konfigurasjonsfilen vil imidlertid føre til kundedata som ikke kan gjenopprettes. Operatørene av Hybrid Data Security-nodene forventes å opprettholde hyppige sikkerhetskopier av databasen og ISO-konfigurasjonsfilen, og være forberedt på å gjenoppbygge Hybrid Data Security datasenter hvis det oppstår en katastrofal feil. | ||
8 | Kontroller at brannmurkonfigurasjonen tillater tilkobling for Hybrid Data Security-nodene som angitt i Krav til ekstern tilkobling . | ||
9 | Installer Docker (https://www.docker.com ) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til den på http://127.0.0.1:8080. Du bruker Docker-forekomsten til å laste ned og kjøre installasjonsverktøyet for HDS, som bygger den lokale konfigurasjonsinformasjon for alle Hybrid Data Security-nodene. Organisasjonen din kan trenge en Docker Desktop-lisens. Se Krav til Docker-skrivebord hvis du vil ha mer informasjon. Hvis du vil installere og kjøre HDS-installasjonsverktøyet, må den lokale maskinen ha tilkoblingsmulighetene som er angitt i Krav til ekstern tilkobling . | ||
10 | Hvis du integrerer en proxy med Hybrid Data Security, må du kontrollere at den oppfyller Krav til proxy-server . | ||
11 | Hvis organisasjonen din bruker katalogsynkronisering, oppretter du en gruppe i Active Directory som heter
|
Oppgaveflyt for distribusjon av hybrid datasikkerhet
Før du starter
1 |
Last ned OVA-filen til din lokale maskin for senere bruk. | ||
2 | Opprett en konfigurasjons-ISO for HDS-vertene Bruk HDS-oppsettverktøyet til å opprette en ISO konfigurasjonsfil for hybriddatasikkerhetsnodene. | ||
3 |
Opprett en virtuell maskin fra OVA-filen og utfør den første konfigurasjonen, for eksempel nettverksinnstillinger.
| ||
4 | Konfigurer den virtuelle hybriddatasikkerhetsmaskinen Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon. | ||
5 | Last opp og monter HDS-konfigurasjons-ISO Konfigurer den virtuelle maskinen fra ISO konfigurasjonsfil du opprettet med HDS-installasjonsverktøyet. | ||
6 | Konfigurere HDS-noden for proxy-integrasjon Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du proxy-typen du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig. | ||
7 | Registrer den første noden i klyngen Registrer den virtuelle maskinen med Cisco Webex skyen som en hybrid datasikkerhetsnode. | ||
8 | Opprett og registrer flere noder Fullfør klyngeoppsettet. | ||
9 | Kjør en prøveversjon og gå til produksjon (neste kapittel) Frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert. |
Last ned installasjonsfiler
1 | Logg påhttps://admin.webex.com , og klikk deretter Tjenester . | ||||
2 | Finn Hybrid Data Security-kortet under Hybridtjenester, og klikk deretter på Konfigurer . Hvis kortet er deaktivert eller du ikke ser det, kontakter du kontoteamet ditt eller partnerorganisasjonen din. Gi dem kontonummeret ditt, og be om å aktivere organisasjonen din for Hybrid Data Security. Hvis du vil finne kontonummeret, klikker du på tannhjulet øverst til høyre, ved siden av organisasjonsnavnet.
| ||||
3 | Velg Nei for å indikere at du ikke har satt opp noden ennå, og klikk deretter på Neste . Nedlastingen av OVA-filen begynner automatisk. Lagre filen et sted på maskinen.
| ||||
4 | Du kan også klikke på Åpne Distribusjonsveiledning for å sjekke om det finnes en nyere versjon av denne veiledningen. |
Opprett en konfigurasjons-ISO for HDS-vertene
Konfigurasjonsprosessen for Hybrid Data Security oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere Hybrid Data Security-verten.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariabler når du henter frem Docker-beholderen i trinn 5 . Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen når du gjør konfigurasjonsendringer, for eksempel disse:
Databaselegitimasjon
Sertifikatoppdateringer
Endringer i retningslinjene for autorisasjon
Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du PostgreSQL- eller SQL Server-distribusjonen for TLS.
1 | På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende:
| ||||||||||||
3 | Når du blir bedt om passord, skriver du inn denne hashen:
| ||||||||||||
4 | Last ned det nyeste stabile bildet for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:
Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080». | ||||||||||||
6 |
Bruk en nettleser til å gå til den lokale verten, Verktøyet bruker denne første oppføringen i brukernavnet til å angi riktig miljø for den kontoen. Verktøyet viser deretter standard påloggingsmelding. | ||||||||||||
7 | Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Control Hub-kundeadministratoren, og klikker deretter på Logg inn for å gi tilgang til de nødvendige tjenestene for Hybrid Data Security. | ||||||||||||
8 | På oversiktssiden for installasjonsverktøy klikker du på Kom i gang . | ||||||||||||
9 | På ISO-import side, har du disse alternativene:
| ||||||||||||
10 | Kontroller at X.509-sertifikatet oppfyller kravene i Krav til X.509-sertifikater .
| ||||||||||||
11 | Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret: | ||||||||||||
12 | Velg en Tilkoblingsmodus for TLS-database :
Når du laster opp rotsertifikat (om nødvendig), og klikker Fortsett tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserver. Verktøyet bekrefter også sertifikatunderskriveren og vertsnavnet, hvis det er aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan det hende at HDS-nodene kan opprette TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.) | ||||||||||||
13 | Konfigurer Syslogd-serveren på siden Systemlogger: | ||||||||||||
14 | (Valgfritt) Du kan endre standardverdi for noen databasetilkoblingsparametere i Avanserte innstillinger . Vanligvis er denne parameteren den eneste du kanskje vil endre:
| ||||||||||||
15 | Klikk på Fortsett på Tilbakestill passordet for tjenestekontoer skjermen. Passord for tjenestekontoer har en levetid på ni måneder. Bruk denne skjermen når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem for å ugyldiggjøre tidligere ISO-filer. | ||||||||||||
16 | Klikk på Last ned ISO-fil . Lagre filen på et sted som er lett å finne. | ||||||||||||
17 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||||||||||||
18 | Hvis du vil avslutte konfigureringsverktøyet, skriver du inn |
Hva nå?
Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.
Vi har aldri en kopi av denne nøkkelen, og kan ikke hjelpe hvis du mister den. |
Installer HDS Host OVA
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten. | ||||||
2 | Velg Fil > Distribuer OVF-mal . | ||||||
3 | Angi plasseringen av OVA-filen du lastet ned tidligere i veiviseren, og klikk deretter på Neste . | ||||||
4 | På Velg et navn og en mappe side, skriver du inn en Navn på virtuell maskin for noden (for eksempel «HDS_ Node_ 1"), velg et sted der nodedistribusjonen for den virtuell maskin kan ligge, og klikk deretter Neste . | ||||||
5 | På Velg en databehandlingsressurs -siden, velg måldataressursen, og klikk deretter Neste . Det kjøres en valideringskontroll. Når den er fullført, vises maldetaljene. | ||||||
6 | Kontroller maldetaljene, og klikk deretter på Neste . | ||||||
7 | Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon side, klikk 4 CPUer og klikk deretter Neste . | ||||||
8 | På Velg lagring side, klikk Neste for å godta standard diskformat og retningslinjer for VM-lagring. | ||||||
9 | På Velg nettverk -siden, velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til den virtuelle maskinen. | ||||||
10 | På Tilpass mal side, konfigurerer du følgende nettverksinnstillinger:
Hvis du foretrekker det, kan du hoppe over konfigurasjonen av nettverksinnstillinger og følge trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen for å konfigurere innstillingene fra nodekonsollen.
| ||||||
11 | Høyreklikk på den virtuelle noden, og velg deretter .Hybrid Data Security-programvaren installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden. Feilsøkingstips Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen ved første oppstart, der du ikke kan logge på. |
Konfigurer den virtuelle hybriddatasikkerhetsmaskinen
Bruk denne fremgangsmåten til å logge på VM-konsollen for Hybrid Data Security-noden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.
1 | I VMware vSphere-klienten velger du den virtuelle hybriddatasikkerhetsnoden og velger Konsoll -fanen. Den virtuelle maskinen starter opp, og det vises en påloggingsmelding. Hvis påloggingsmeldingen ikke vises, trykker du på Gå inn .
|
2 | Bruk følgende standard påloggingsinformasjon og passord for å logge på og endre legitimasjonen: Siden du logger på den virtuelle maskinen for første gang, må du endre administrator . |
3 | Hvis du allerede har konfigurert nettverksinnstillinger i Installer HDS Host OVA , hopper du over resten av denne prosedyren. Ellers velger du på hovedmeny Rediger konfigurasjon alternativet. |
4 | Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke. |
5 | (Valgfritt) Endre vertsnavnet, domenet eller NTP-server(e) om nødvendig for å samsvare med nettverkspolicyen din. Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet. |
6 | Lagre nettverkskonfigurasjon og start den virtuelle maskinen på nytt slik at endringene trer i kraft. |
Last opp og monter HDS-konfigurasjons-ISO
Før du starter
Siden ISO-filen inneholder hovednøkkelen, bør den bare vises på en «trenger å vite»-basis, for tilgang for de virtuelle hybriddatasikkerhets-ene og alle administratorer som måtte trenge å gjøre endringer. Kontroller at bare disse administratorene har tilgang til datalageret.
1 | Last opp ISO-filen fra datamaskinen: |
2 | Monter ISO-filen: |
Hva nå?
Hvis IT-retningslinjene krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene dine har registrert konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.
Konfigurere HDS-noden for proxy-integrasjon
Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybriddatasikkerhet. Hvis du velger en gjennomsiktig inspeksjonsproxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet og feilsøke eventuelle problemer.
Før du starter
Se Proxy-støtte hvis du vil ha en oversikt over proxy-alternativene som støttes.
1 | Angi URL-adressen til oppsett av HDS-node |
2 | Gå til Klareringslager og proxy, og velg deretter et alternativ:
Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en HTTP-eksplisitt proxy med enkel godkjenning eller en eksplisitt HTTPS-proxy. |
3 | Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen. Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på vinkeltegnpilen ved navnet på sertifikatutstederen for å få flere detaljer, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt. |
4 | Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen. Hvis tilkoblingstesten mislykkes, ser du en feilmelding som viser årsaken og hvordan du kan løse problemet. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne betingelsen forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene, og deretter ser du Slå av blokkert ekstern DNS-oppløsningsmodus . |
5 | Etter at tilkoblingstesten blir bestått, kun for eksplisitt proxy satt til https, setter du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen trer i kraft etter 15 sekunder. |
6 | Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en HTTP-eksplisitt proxy), les ledeteksten, og klikk deretter på Installer hvis du er klar. Noden starter på nytt i løpet av noen få minutter. |
7 | Når noden har startet på nytt, logger du på igjen om nødvendig, og deretter åpner du Oversikt-siden for å kontrollere tilkoblingskontrollene for å sikre at alle har grønn status. Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det oppstår tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen. |
Registrer den første noden i klyngen
Når du registrerer den første noden, oppretter du en klynge som noden er tilordnet. En klynge inneholder én eller flere noder distribuert for å gi redundans.
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Logg på https://admin.webex.com. |
2 | Fra menyen på venstre side av skjermen velger du Tjenester . |
3 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Konfigurer . Siden Registrer hybrid node for datasikkerhet vises.
|
4 | Velg Ja for å indikere at du har satt opp noden og er klar til å registrere den, og klikk deretter på Neste . |
5 | I det første feltet skriver du inn et navn på klyngen du vil tilordne Hybrid Data Security-noden til. Vi anbefaler at du gir navn til en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: «San Francisco» eller «New York» eller «Dallas» |
6 | I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste . Denne IP-adresse eller FQDN må samsvare med IP-adresse eller vertsnavnet og domenet du brukte i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . Det vises en melding som angir at du kan registrere noden til Webex.
|
7 | Klikk på Gå til Node . |
8 | Klikk på Fortsett i advarselsmelding. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til Webex-organisasjonen din for å få tilgang til noden.
|
9 | Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett . Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
|
10 | Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden. På Hybrid datasikkerhet side, vises den nye klyngen som inneholder noden du registrerte. Noden vil automatisk laste ned den nyeste programvaren fra skyen.
|
Opprett og registrer flere noder
På dette tidspunktet er de virtuelle sikkerhetskopiene-ene du opprettet i Fullfør forutsetningene for hybrid datasikkerhet er standby-verter som bare brukes i tilfelle katastrofegjenoppretting; de er ikke registrert i systemet før da. Hvis du vil ha mer informasjon, se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus . |
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA . |
2 | Konfigurer den første konfigurasjonen på den nye virtuelle maskinen, og gjenta trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . |
3 | Gjenta trinnene i den nye VM-en Last opp og monter HDS-konfigurasjons-ISO . |
4 | Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrering etter behov for den nye noden. |
5 | Registrer noden. Noden din er registrert. Merk at frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.
|
Hva nå?
Oppgaveflyt fra prøveversjon til produksjon
Når du har konfigurert en Hybrid Data Security-klynge, kan du starte en pilot, legge til brukere i den og begynne å bruke den til testing og bekreftelse av distribusjonen som forberedelse til overgang til produksjon.
Før du starter
1 | Hvis det er aktuelt, synkroniserer du Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge |
2 |
Start en prøveversjon. Frem til du gjør denne oppgaven, genererer nodene en alarm som indikerer at tjenesten ennå ikke er aktivert. |
3 | Test hybriddistribusjonen av datasikkerhet Kontroller at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen. |
4 | Overvåke helse for hybrid datasikkerhet Sjekk status, og konfigurer e-postvarsler for alarmer. |
5 | |
6 | Fullfør prøveperioden med én av følgende handlinger: |
Aktiver prøveversjon
Før du starter
Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup
gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.
1 | Logg påhttps://admin.webex.com , og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Start prøveversjonen . Tjenestestatusen endres til prøveversjonsmodus.
|
4 | Klikk på Legg til brukere og angi e-postadresse til én eller flere brukere for å prøve å bruke Hybrid Data Security-nodene for kryptering og indekseringstjenester. (Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory til å administrere prøvegruppen, |
Test hybriddistribusjonen av datasikkerhet
Før du starter
Konfigurer Hybrid Data Security-distribusjonen.
Aktiver prøveversjonen, og legg til flere prøveversjonsbrukere.
Kontroller at du har tilgang til syslog for å bekrefte at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.
1 | Taster for et gitt område angis av oppretteren av området. Logg på Webex-appen som én av pilotbrukerne, og opprett deretter et område og inviter minst én pilotbruker og én ikke-pilotbruker.
| ||
2 | Send meldinger til det nye området. | ||
3 | Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til Hybrid Data Security-distribusjonen. |
Overvåke helse for hybrid datasikkerhet
1 | I Kontrollhub , velger du Tjenester fra menyen på venstre side av skjermen. |
2 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Innstillinger . Siden Innstillinger for hybrid datasikkerhet vises.
|
3 | I delen E-postvarsler skriver du inn én eller flere e-postadresser atskilt med komma, og trykker på Gå inn . |
Legg til eller fjern brukere fra prøveversjonen
Hvis du fjerner en bruker fra prøveversjonen, vil brukerens klient be om å opprette nøkler og nøkler fra KMS-skyen i stedet for KMS-en din. Hvis klienten trenger en nøkkel som er lagret på KMS-en, vil KMS-en i skyen hente den på brukerens vegne.
Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory (i stedet for denne prosedyren) til å administrere prøvegruppen, HdsTrialGroup
; du kan vise gruppemedlemmene i Control Hub, men kan ikke legge til eller fjerne dem.
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Prøvemodus i området Tjenestestatus klikker du på Legg til brukere , eller klikk vise og redigere for å fjerne brukere fra prøveversjonen. |
4 | Skriv inn e-postadresse til én eller flere brukere som skal legges til, eller klikk på X av en bruker-ID for å fjerne brukeren fra prøveversjonen. Klikk deretter på Lagre. |
Gå fra prøveversjon til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Flytt til produksjon . |
4 | Bekreft at du vil flytte alle brukerne til produksjon. |
Avslutt prøveversjonen uten å gå til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I Deaktiver-delen klikker du på Deaktiver . |
4 | Bekreft at du vil deaktivere tjenesten og avslutte prøveversjonen. |
Behandle HDS-distribusjon
Bruk oppgavene som er beskrevet her, til å administrere Hybrid Data Security-distribusjonen.
Angi tidsplan for klyngeoppgradering
Slik angir du oppgraderingsplanen:
1 | Logg på Kontrollhub . |
2 | På Oversikt-siden, under Hybridtjenester, velger du Hybrid datasikkerhet . |
3 | Velg klyngen på siden Hybriddatasikkerhetsressurser. |
4 | I Oversikt-panelet til høyre, under Klyngeinnstillinger, velger du klyngenavnet. |
5 | På Innstillinger-siden, under Oppgradering, velger du tid og tidssone for oppgraderingsplanen. Merk: Under tidssone vises dato og klokkeslett for neste tilgjengelige oppgradering. Du kan om nødvendig utsette oppgraderingen til neste dag ved å klikke på Utsette . |
Endre nodekonfigurasjonen
Endring av x.509-sertifikater på grunn av utløpsdato eller andre årsaker.
Vi støtter ikke endring av CN- domenenavn for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.
Oppdaterer databaseinnstillinger for å endre til en replika av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt vei. Hvis du vil bytte databasemiljø, starter du en ny distribusjon av Hybrid Data Security.
Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.
Av sikkerhetsmessige årsaker bruker Hybriddata-sikkerhet passord som har en levetid på ni måneder på tjenestekontoer. HDS-installasjonsverktøyet genererer disse passordene, og du distribuerer dem til hver av HDS-nodene dine som en del av ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløp, mottar du et «Varsel om utløp av passord» fra Webex-teamet, der du blir bedt om å tilbakestille passordet for maskinkontoen. (E-posten inneholder teksten «Bruk maskinkontoens API til å oppdatere passordet.») Hvis passordene ikke er utløpt ennå, gir verktøyet deg to alternativer:
Myk tilbakestilling – Det gamle og det nye passordet fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.
Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.
Hvis passordene dine utløper uten en tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.
Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du henter opp Docker-beholderen i 1.e . Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO-en inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO-en når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i autorisasjonspolicy.
1 | Kjør HDS-konfigureringsverktøyet via Docker på en lokal maskin. |
2 | Hvis du kun kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den via den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, se Opprett og registrer flere noder . |
3 | For eksisterende HDS-noder som kjører den eldre konfigurasjonsfil, monterer du ISO-filen. Utfør følgende prosedyre på hver node etter tur, og oppdater hver node før du slår av neste node: |
4 | Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen. |
Deaktiver blokkert ekstern DNS-oppløsningsmodus
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modusen blokkert ekstern DNS-oppløsning.
Hvis nodene kan løse offentlige DNS-navn via interne DNS-servere, kan du deaktivere denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.
Før du starter
1 | Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/-oppsett, for eksempel https://192.0.2.0/setup),angi administratorlegitimasjonen du konfigurerte for noden, og klikk deretter på Logg på. |
2 | Gå til Oversikt (standardsiden). Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja. |
3 | Gå til siden Klareringslager og proxy. |
4 | Klikk på Kontroller proxy-tilkobling. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og den vil forbli i denne modusen. Ellers, etter at du har startet noden på nytt og gått tilbake til Oversikt-siden, bør Blokkert ekstern DNS-oppløsning settes til Nei. |
Hva nå?
Fjerne en node
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuell maskin. |
2 | Fjern noden: |
3 | Slett den virtuelle maskinen i vSphere-klienten. (I venstre navigasjonsrute høyreklikk du på den virtuelle maskinen og klikker Slett .) Hvis du ikke sletter den virtuelle maskinen, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke den virtuelle maskinen til å få tilgang til sikkerhetsdataene dine. |
Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus
Den mest kritiske tjenesten Hybrid Data Security-klyngen tilbyr, er opprettelse og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet Hybrid Data Security, rutes nye forespørsler om å opprette nøkkel til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til alle brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.
Siden klyngen utfører den kritiske funksjonen med å oppgi disse nøklene, er det viktig at klyngen fortsetter å kjøre og at forsvarlige sikkerhetskopier opprettholdes. Tap av Hybrid Data Security-databasen eller av ISO-konfigurasjonen som ble brukt for skjemaet, vil føre til TAP av kundeinnhold som ikke kan gjenopprettes. Følgende fremgangsmåter er obligatoriske for å forhindre slikt tap:
Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenter blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til datasenter i ventemodus.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene . | ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor eller fjerner
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
(Valgfritt) Avmonter ISO etter HDS-konfigurasjon
Standard HDS-konfigurasjonen kjører med ISO-en montert. Men noen kunder foretrekker å ikke la ISO-filer være kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-noder har plukket opp den nye konfigurasjonen.
Du bruker fortsatt ISO-filene til å gjøre konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO via installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene dine har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en på nytt med denne prosedyren.
Før du starter
Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.
1 | Avslutt én av HDS-nodene dine. |
2 | I vCenter Server Appliance velger du HDS-noden. |
3 | Velg ISO-fil for datalager . og fjern merket |
4 | Slå på HDS-noden og kontroller at det ikke er noen alarmer på minst 20 minutter. |
5 | Gjenta for hver HDS-node etter tur. |
Vis varsler og feilsøking
En Hybrid Data Security-distribusjon anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller hvis klyngen fungerer så sakte at forespørslene tidsavbrudd. Hvis brukere ikke kan nå Hybrid Data Security-klyngen, opplever de følgende symptomer:
Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)
Meldinger og områdetitler kan ikke dekrypteres for:
Nye brukere lagt til i et område (kan ikke hente nøkler)
Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)
Eksisterende brukere i et område fortsetter å kjøre så lenge klientene deres har en hurtigbuffer for krypteringsnøklene
Det er viktig at du overvåker Hybrid Data Security-klyngen på riktig måte og adresserer alle varsler umiddelbart for å unngå avbrudd i tjenesten.
Varsler
Hvis det er et problem med oppsettet av Hybrid Data Security, viser Control Hub varsler til administrator og sender e-postmeldinger til den konfigurerte e-postadresse. Varslene dekker mange vanlige scenarier.
Varsel | Handling |
---|---|
Feil ved tilgang til lokal database. |
Se etter databasefeil eller problemer med det lokale nettverket. |
tilkoblingsfeil til lokal database. |
Kontroller at databaseserver er tilgjengelig, og at riktig påloggingsinformasjon for tjenestekonto ble brukt i nodekonfigurasjonen. |
Tilgangsfeil for skytjeneste. |
Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling . |
Fornyer registrering av skytjeneste. |
Registrering for skytjenester ble avbrutt. Fornyelse av registrering pågår. |
Registrering av skytjeneste ble avbrutt. |
Registreringen til skytjenester ble avsluttet. Tjenesten avsluttes. |
Tjenesten ikke aktivert ennå. |
Aktiver en prøveversjon, eller fullfør flyttingen av prøveversjonen til produksjon. |
Det konfigurerte domenet samsvarer ikke med serversertifikat. |
Kontroller at serversertifikat samsvarer med det konfigurerte domenet for tjenesteaktivering. Den mest sannsynlige årsaken er at sertifikatet CN nylig ble endret og nå er forskjellig fra CN som ble brukt under det første oppsettet. |
Kunne ikke autentisere for skytjenester. |
Se etter nøyaktighet og mulig utløp av legitimasjon for tjenestekonto . |
Kunne ikke åpne den lokale nøkkellagerfilen. |
Se etter integritet og passordnøyaktighet i den lokale nøkkellagerfilen. |
Det lokale serversertifikat er ugyldig. |
Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans. |
Kan ikke legge inn beregninger. |
Sjekk lokal nettverkstilgang til eksterne skytjenester. |
Katalogen /media/configdrive/hds finnes ikke. |
Kontroller konfigurasjonen for ISO-montering på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å montere ved omstart, og at den er vellykket. |
Feilsøke hybrid datasikkerhet
1 | Se gjennom Control Hub for å se eventuelle varsler, og reparer alle elementer du finner der. |
2 | Se gjennom syslog-serverutdataene for aktivitet fra Hybrid Data Security-distribusjonen. |
3 | Kontakt Cisco-støtte . |
Kjente problemer med hybrid datasikkerhet
Hvis du avslutter Hybrid Data Security-klyngen (ved å slette den i Control Hub eller ved å avslutte alle noder), mister ISO-konfigurasjonsfilen eller mister tilgangen til nøkkellagerdatabasen, kan brukerne av Webex-appen ikke lenger bruke områder under Personene sine liste som ble opprettet med nøkler fra KMS. Dette gjelder både prøveversjon og produksjonsdistribusjoner. Vi har for øyeblikket ingen løsning eller løsning for dette problemet, og vi ber deg innstendig om ikke å avslutte HDS-tjenestene dine når de håndterer aktive brukerkontoer.
En klient som har en eksisterende ECDH-tilkobling til en KMS, opprettholder denne tilkoblingen i en periode (sannsynligvis én time). Når en bruker blir medlem av en prøveversjon av Hybrid Data Security, fortsetter brukerens klient å bruke den eksisterende ECDH-tilkoblingen frem til tidsavbrudd. Alternativt kan brukeren logge av og på igjen Webex-appen for å oppdatere plasseringen appen kontakter for krypteringsnøkler.
Den samme virkemåten oppstår når du flytter en prøveversjon til produksjon for organisasjonen. Alle ikke-prøvebrukere med eksisterende ECDH-tilkoblinger til de tidligere datasikkerhetstjenestene vil fortsette å bruke disse tjenestene til ECDH-tilkoblingen reforhandles (gjennom tidsavbrudd eller ved å logge av og på igjen).
Bruk OpenSSL til å generere en PKCS12-fil
Før du starter
OpenSSL er ett verktøy som kan brukes til å gjøre PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi hverken støtter eller promoterer én måte fremfor en annen.
Hvis du velger å bruke OpenSSL, tilbyr vi denne fremgangsmåten som en retningslinje for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i Krav til X.509-sertifikater . Forstå disse kravene før du fortsetter.
Installer OpenSSL i et støttet miljø. Sehttps://www.openssl.org for programvaren og dokumentasjonen.
Opprett en privat nøkkel.
Start denne prosedyren når du mottar serversertifikat fra sertifiseringsinstans (CA).
1 | Når du mottar serversertifikat fra CA, lagrer du det som |
2 | Vis sertifikatet som tekst, og bekreft detaljene.
|
3 | Bruk et tekstredigeringsprogram til å opprette en sertifikatpakkefil kalt
|
4 | Opprett .p12-filen med det vennlige navnet
|
5 | Kontroller serversertifikat . |
Hva nå?
Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet . Du vil bruke hdsnode.p12
filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-vertene .
Du kan bruke disse filene på nytt til å be om et nytt sertifikat når det opprinnelige sertifikatet utløper. |
Trafikk mellom HDS-nodene og skyen
Utgående trafikk for innsamling av beregninger
Hybriddatasikkerhetsnodene sender bestemte beregninger til Webex-skyen. Disse inkluderer systemmålinger for maks. haug, brukt haug, CPU-belastning og antall tråder. målinger for synkrone og asynkrone tråder; målinger for varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller en forespørselskølengde; målinger på datalageret; og måleverdier for krypteringstilkobling. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).
Innkommende trafikk
Hybriddatasikkerhetsnodene mottar følgende typer innkommende trafikk fra Webex-skyen:
Krypteringsforespørsler fra klienter, som rutes av krypteringstjenesten
Oppgraderinger til nodeprogramvaren
Konfigurer Squid-proxyer for hybrid datasikkerhet
Websocket kan ikke koble til via Squid-proxy
Squid-proxyer som inspiserer HTTPS-trafikk, kan forstyrre etableringen av websocket ( wss:
)-tilkoblinger som Hybrid Data Security krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss:
trafikk for riktig drift av tjenestene.
Squid 4 og 5
Legg til on_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi testet Hybrid Data Security med følgende regler lagt til squid.conf
. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Ny og endret informasjon
Dato | Endringer gjort | ||
---|---|---|---|
20. oktober 2023 |
| ||
7. august 2023 |
| ||
23. mai 2023 |
| ||
6. desember 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop må kjøre et installasjonsprogram før du kan installere HDS-noder. Se Krav til Docker-skrivebord . | ||
24. juni 2021 | Merk at du kan bruke den private nøkkelfilen og CSR-en på nytt for å be om et annet sertifikat. Se Bruk OpenSSL til å generere en PKCS12-fil for detaljer. | ||
30. april 2021 | Endret VM-kravet for lokal harddiskplass til 30 GB. Se Krav til virtuell vert for detaljer. | ||
24. februar 2021 | HDS-installasjonsverktøyet kan nå kjøres bak en proxy. Se Opprett en konfigurasjons-ISO for HDS-vertene for detaljer. | ||
2. februar 2021 | HDS kan nå kjøres uten en montert ISO-fil. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer. | ||
11. januar 2021 | Lagt til informasjon om HDS-oppsettverktøy og proxyer til Opprett en konfigurasjons-ISO for HDS-vertene . | ||
13. oktober 2020 | Oppdatert Last ned installasjonsfiler . | ||
8. oktober 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med kommandoer for FedRAMP-miljøer. | ||
14. august 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med endringer i påloggingsprosessen. | ||
5. august 2020 | Oppdatert Test hybriddistribusjonen av datasikkerhet for endringer i loggmeldinger. Oppdatert Krav til virtuell vert for å fjerne maksimalt antall verter. | ||
16. juni 2020 | Oppdatert Fjerne en node for endringer i Control Hub-grensesnittet. | ||
4. juni 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for endringer i de avanserte innstillingene du måtte angi. | ||
29. mai 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for å vise at du også kan bruke TLS med SQL Server-databaser, brukergrensesnittendringer og andre presiseringer. | ||
5. mai 2020 | Oppdatert Krav til virtuell vert for å vise nye krav til ESXi 6.5. | ||
21. april 2020 | Oppdatert Krav til ekstern tilkobling med nye Americas CI-verter. | ||
1. april 2020 | Oppdatert Krav til ekstern tilkobling med informasjon om regionale CI-verter. | ||
20. februar 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med informasjon om det nye, valgfrie skjermbildet for avanserte innstillinger i HDS-oppsettverktøyet. | ||
4. februar 2020 | Oppdatert Krav til proxy-server . | ||
16. desember 2019 | Klargjorde kravet om at blokkert ekstern DNS-oppløsningsmodus skal fungere i Krav til proxy-server . | ||
19. november 2019 | La til informasjon om blokkert ekstern DNS-oppløsningsmodus i følgende deler: | ||
8. november 2019 | Du kan nå konfigurere nettverksinnstillinger for en node mens du distribuerer OVA i stedet for etterpå. Oppdaterte følgende deler tilsvarende:
| ||
6. september 2019 | Lagt til SQL Server Standard i Krav til databaseserver . | ||
29. august 2019 | Lagt til Konfigurer Squid-proxyer for hybrid datasikkerhet vedlegg med veiledning om konfigurering av Squid-proxyer til å ignorere websocket-trafikk for riktig drift. | ||
20. august 2019 | Lagt til og oppdaterte deler for å dekke proxy-støtte for hybrid datasikkerhetsnodekommunikasjon til Webex-skyen. Hvis du bare vil ha tilgang til proxy-støtteinnholdet for en eksisterende distribusjon, kan du se Proxy-støtte for hybrid datasikkerhet og Webex-videonett hjelpeartikkel. | ||
13. juni 2019 | Oppdatert Oppgaveflyt fra prøveversjon til produksjon med en påminnelse om å synkronisere HdsTrialGroup gruppeobjekt før du starter en prøveversjon hvis organisasjonen bruker katalogsynkronisering. | ||
6. mars 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. mai 2018 | Endret terminologi for å gjenspeile endringen av varemerke for Cisco Spark:
| ||
11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
2. november 2017 |
| ||
18. august 2017 | Først publisert |
Oversikt over hybrid datasikkerhet
Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er ende-til-ende-kryptering av innhold, aktivert av Webex App-klienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografinøklene som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.
Som standard får alle Webex App-kunder ende-til-ende-kryptering med dynamiske nøkler lagret i KMS-skyen, i Ciscos sikkerhetsområde. Hybrid datasikkerhet flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, slik at ingen andre enn deg har nøklene til ditt krypterte innhold.
Arkitektur for sikkerhetsriket
Webex-skyarkitekturen skiller forskjellige typer tjenester i separate områder, eller klareringsdomener, som vist nedenfor.
For å forstå Hybrid Data Security ytterligere, la oss først se på dette rene skysaken, der Cisco leverer alle funksjoner i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan korreleres direkte med personlig informasjon, for eksempel e-postadresse, er logisk og fysisk atskilt fra sikkerhetsområdet i datasenter B. Begge er igjen atskilt fra området der kryptert innhold til slutt lagres , i datasenter C.
I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og som er autentisert med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:
Klienten oppretter en sikker tilkobling med nøkkelbehandlingstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikker tilkobling bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en AES-256-hovednøkkel.
Meldingen krypteres før den forlater klienten. Klienten sender den til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe til med fremtidige søk etter innholdet.
Den krypterte meldingen sendes til samsvarstjenesten for samsvarskontroll.
Den krypterte meldingen lagres i lagringsområdet.
Når du distribuerer Hybrid Data Security, flytter du sikkerhetsområdets funksjoner (KMS, indeksering og samsvar) til det lokale datasenter. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos riker.
Samarbeide med andre organisasjoner
Brukere i organisasjonen din kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen (fordi det ble opprettet av en av brukerne), sender KMS-en nøkkelen til klienten over en ECDH-sikker kanal. Når en annen organisasjon eier nøkkelen for området, ruter KMS-en imidlertid forespørselen ut til Webex-skyen gjennom en egen ECDH-kanal for å hente nøkkelen fra riktig KMS, og returnerer deretter nøkkelen til brukeren på den opprinnelige kanalen.
KMS-tjenesten som kjøres på organisasjon A, validerer tilkoblingene til KMS-er i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet ditt for detaljer om generering av et x.509-sertifikat som skal brukes med Hybrid Data Security-distribusjonen.
Forventninger for distribusjon av hybrid datasikkerhet
En Hybrid Data Security-distribusjon krever betydelig kundeengasjement og en bevissthet om risikoene som følger med å eie krypteringsnøkler.
Hvis du vil distribuere Hybrid Data Security, må du oppgi:
Et sikkert datasenter i et land som er et støttet plassering for Cisco Webex Teams planene .
Utstyret, programvaren og nettverkstilgangen som er beskrevet i Forbered miljøet ditt .
Fullstendig tap av enten konfigurasjons-ISO-en du bygger for Hybrid Data Security eller databasen du oppgir, vil føre til tap av nøklene. Tap av nøkkel forhindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:
Behandle sikkerhetskopieringen og gjenopprettingen av databasen og konfigurasjonen av ISO.
Vær forberedt på å utføre rask gjenoppretting ved katastrofegjenoppretting hvis det oppstår en katastrofe, for eksempel en databasediskfeil eller en datasenter .
Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon. |
Konfigurasjonsprosess på høyt nivå
Dette dokumentet dekker oppsett og administrasjon av en Hybrid Data Security-distribusjon:
Konfigurer Hybrid Data Security – Dette inkluderer klargjøring av nødvendig infrastruktur og installasjon av Hybrid Data Security-programvare, testing av distribusjonen med et undersett av brukere i prøveversjonsmodus, og, når testingen er fullført, overgang til produksjon. Dette konverterer hele organisasjonen til å bruke Hybrid Data Security-klyngen for sikkerhetsfunksjoner.
Oppsett-, prøve- og produksjonsfasene dekkes i detalj i de neste tre kapitlene.
Vedlikeholde Hybrid Data Security-distribusjonen – Webex-skyen gir automatisk løpende oppgraderinger. IT-avdelingen din kan tilby nivå 1-støtte for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke skjermvarsler og konfigurere e-postbaserte varsler i Control Hub.
Forstå vanlige varsler, feilsøkingstrinn og kjente problemer –Hvis du får problemer med å distribuere eller bruke Hybrid Data Security, kan det siste kapitlet i denne veiledningen og tillegget Kjente problemer hjelpe deg med å finne ut og løse problemet.
Hybrid distribusjonsmodell for datasikkerhet
I foretningsdata distribuerer du Hybrid Data Security som én enkelt klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen gjennom sikre websockets og sikker HTTP.
Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere den virtuelle enheten på de virtuelle maskinene du oppgir. Du bruker installasjonsverktøyet for HDS til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Hybrid Data Security-klyngen bruker den medfølgende Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)
Det minste antallet noder du kan ha i en klynge, er to. Vi anbefaler minst tre, og du kan ha opptil fem. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)
Alle nodene i en klynge har tilgang til det samme nøkkeldatalageret og loggaktiviteten til den samme syslog-serveren. Nodene i seg selv er statsløse og håndterer nøkkelforespørsler på en roundrobin-måte, som anvist av skyen.
Nodene blir aktive når du registrerer dem i Control Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.
Vi støtter bare én klynge per organisasjon.
Prøveversjonsmodus for hybrid datasikkerhet
Etter at du har satt opp en Hybrid Data Security-distribusjon, kan du først prøve den med et sett med pilotbrukere. I løpet av prøveperioden bruker disse brukerne det lokale Hybrid Data Security-domenet ditt for krypteringsnøkler og andre sikkerhetstjenester. De andre brukerne dine fortsetter å bruke sikkerhetsområdet for skyen.
Hvis du bestemmer deg for ikke å fortsette med distribusjonen i løpet av prøveperioden og deaktivere tjenesten, mister pilotbrukerne og alle brukere de har samhandlet med ved å opprette nye områder i løpet av prøveperioden tilgangen til meldingene og innholdet. De vil se «Denne meldingen kan ikke dekrypteres» i Webex-appen.
Hvis du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, og du er klar til å utvide Hybrid Data Security til alle brukerne, flytter du distribusjonen til produksjon. Pilotbrukere fortsetter å ha tilgang til nøklene som var i bruk under prøveversjonen. Du kan imidlertid ikke gå frem og tilbake mellom produksjonsmodus og den opprinnelige prøveversjonen. Hvis du må deaktivere tjenesten, for eksempel for å utføre katastrofegjenoppretting, må du starte en ny prøveversjon og konfigurere settet med pilotbrukere for den nye prøveversjonen før du går tilbake til produksjonsmodus når du aktiverer den. Hvorvidt brukere beholder tilgangen til data på dette tidspunktet, avhenger av om du har vedlikeholdt sikkerhetskopier av datalager og ISO konfigurasjonsfil for Hybrid Data Security-nodene i klyngen.
Datasenter i ventemodus for katastrofegjenoppretting
Under distribusjonen konfigurerer du et sikkert datasenter i ventemodus . I tilfelle en datasenter , kan du feile distribusjonen manuelt over til datasenter i ventemodus .
Databasene til det aktive datasenteret og datasenteret i ventemodus er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover. ISO-filen til datasenter for ventemodus oppdateres med flere konfigurasjoner som sikrer at nodene registreres i organisasjonen, men ikke håndterer trafikk. Derfor forblir nodene i standby datasenter alltid oppdatert med den nyeste versjonen av HDS-programvaren.
De aktive hybriddatasikkerhetsnodene må alltid være i samme datasenter som den aktive databaseserver. |
Konfigurere datasenter i ventemodus for katastrofegjenoppretting
Følg trinnene nedenfor for å konfigurere ISO-filen for datasenter i ventemodus:
Før du starter
datasenter i ventemodus skal speile produksjonsmiljøet til virtuelle maskiner og en sikkerhetskopi av PostgreSQL- eller Microsoft SQL Server-database. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. (Se Datasenter i ventemodus for katastrofegjenoppretting for en oversikt over denne failover-modellen.)
Kontroller at databasesynkronisering er aktivert mellom databasen med aktive og passive klyngenoder.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .
| ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor for å plassere noden i passiv modus. I denne modusen vil noden være registrert i organisasjonen og koblet til skyen, men vil ikke håndtere trafikk.
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
Etter konfigurering passiveMode
i ISO-filen og lagrer den, kan du opprette en annen kopi av ISO-filen uten passiveMode
konfigurasjonen og lagre den på et sikkert sted. Denne kopien av ISO-filen uten passiveMode
konfigurert kan hjelpe i en rask failover-prosess under katastrofegjenoppretting. Se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus for den detaljerte failover-prosedyren.
Proxy-støtte
Hybriddatasikkerhet støtter eksplisitte, gjennomsiktige proxyer for inspeksjon og ikke-inspeksjon. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et grensesnitt for plattformadministrasjon på nodene for sertifikatadministrasjon og kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.
Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:
Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Klareringslager og proxy-konfigurasjon til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig ikke-inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse, og bør ikke trenge endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig tunnelering eller inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjon er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de klarerer proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer om hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og hvilken godkjenningsplan som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon for hver node:
Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.
Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.
Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:
HTTP – Viser og kontrollerer alle forespørsler som klienten sender.
HTTPS – Gir en kanal til serveren. Klienten mottar og godkjenner serverens sertifikat.
Godkjenningstype – Velg blant følgende godkjenningstyper:
Ingen – Ingen ytterligere godkjenning er nødvendig.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Grunnleggende – Brukes for en HTTP-brukeragent til å angi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.
Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Eksempel på noder og proxy for hybriddatasikkerhet
Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og HTTPS eksplisitt inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.
Blokkert ekstern DNS-oppløsningsmodus (eksplisitt proxy-konfigurasjoner)
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsningsmodus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.
Krav for hybrid datasikkerhet
Lisenskrav for Cisco Webex
Slik distribuerer du hybrid datasikkerhet:
Du må ha Pro Pack for Cisco Webex Control Hub. (Sehttps://www.cisco.com/go/pro-pack .)
Krav til Docker-skrivebord
Før du installerer HDS-nodene, må du ha Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig lisensieringsmodellen. Organisasjonen din kan kreve et betalt abonnement for Docker Desktop. Hvis du vil ha mer informasjon, se Docker-blogginnlegget, « Docker oppdaterer og utvider produktabonnementene våre «.
Krav til X.509-sertifikater
sertifikatkjede må oppfylle følgende krav:
Krav | Detaljer |
---|---|
| Som standard klarerer vi sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) påhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN-en trenger ikke å være tilgjengelig eller være en direktevert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel CN kan ikke inneholde en * (jokertegn). CN brukes til å bekrefte hybriddatasikkerhetsnodene til Webex App-klienter. Alle hybriddatasikkerhetsnodene i klyngen bruker det samme sertifikatet. KMS-en din identifiserer seg ved hjelp av CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene. Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN- domenenavn. Velg et domene som kan gjelde for både prøveversjonen og produksjonsdistribusjonene. |
| KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjoners KMS-er. |
| Du kan bruke et konverteringsprogram som OpenSSL til å endre sertifikatets format. Du må angi passordet når du kjører HDS-installasjonsverktøyet. |
KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifiseringsinstanser krever at utvidede begrensninger for nøkkelbruk brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.
Krav til virtuell vert
De virtuelle vertene som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen, har følgende krav:
Minst to separate verter (tre anbefales) plassert i det samme sikre datasenter
VMware ESXi 6.5 (eller nyere) er installert og kjører.
Du må oppgradere hvis du har en tidligere versjon av ESXi.
Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokal harddiskplass per server
Krav til databaseserver
Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene, når de er installert, oppretter databaseskjemaet. |
Det finnes to alternativer for databaseserver. Kravene for hver av dem er som følger:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) | Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) |
HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserver:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC-driver 42.2.5 | SQL Server JDBC-driver 4.6 Denne driverversjonen støtter SQL Server Always On ( Alltid på failover-klyngeforekomster og Alltid på tilgjengelighetsgrupper ). |
Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server
Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:
HDS-nodene, Active Directory -infrastrukturen og MS SQL Server må alle være synkronisert med NTP.
Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.
DNS-serverne du oppgir til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).
Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et Service Principal Name (SPN) i Active Directory. Se Registrer et hovednavn for tjeneste for Kerberos Connections .
HDS-oppsettverktøyet, HDS-startprogrammet og lokal KMS må alle bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN når de ber om tilgang med Kerberos-autentisering.
Krav til ekstern tilkobling
Konfigurer brannmuren til å tillate følgende tilkoblingsmuligheter for HDS-programmene:
Applikasjon | Protokoll | Port | Veibeskrivelse fra app | Destinasjon |
---|---|---|---|---|
Hybride datasikkerhetsnoder | TCP | 443 | Utgående HTTPS og WSS |
|
HDS-oppsettverktøy | TCP | 443 | Utgående HTTPS |
|
Hybrid Data Security-nodene fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmur tillater de nødvendige utgående tilkoblingene til domenemålene i den foregående tabellen. For tilkoblinger som går inn til Hybrid Data Security-nodene, skal ingen porter være synlige fra Internett. I datasenter ditt trenger klienter tilgang til hybriddatasikkerhetsnodene på TCP-portene 443 og 22 til administrative formål. |
URL-adressene for CI-vertene (Common Identity) er regionsspesifikke. Dette er de nåværende CI-vertene:
Region | Felles URL-adresser for vertsidentitet |
---|---|
Nord- og Sør-Amerika |
|
Den europeiske union |
|
Canada |
|
Krav til proxy-server
Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene dine for hybriddatasikkerhet.
Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).
Eksplisitt proxy – Squid.
Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av WebSocket (wss:) tilkoblinger. Hvis du vil omgå dette problemet, kan du se Konfigurer Squid-proxyer for hybrid datasikkerhet .
Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:
Ingen godkjenning med HTTP eller HTTPS
Enkel godkjenning med HTTP eller HTTPS
Sammendragsgodkjenning kun med HTTPS
Hvis du vil ha en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne håndboken beskriver hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnoder.
Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.
Proxyer som inspiserer nettrafikk, kan forstyrre WebSocket-tilkoblinger. Hvis dette problemet oppstår, kan du omgå (ikke inspisere) trafikk til
wbx2.com
ogciscospark.com
vil løse problemet.
Fullfør forutsetningene for hybrid datasikkerhet
1 | Kontroller at Webex-organisasjonen din er aktivert for Pro Pack for Cisco Webex Control Hub, og få legitimasjonen til en konto med fulle administrator . Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen. | ||
2 | Velg et domenenavn for HDS-distribusjonen (for eksempel | ||
3 | Klargjør identiske virtuelle verter som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen. Du trenger minst to separate verter (tre anbefales) plassert i det samme sikre datasenter, som oppfyller kravene i Krav til virtuell vert . | ||
4 | Klargjør databaseserver som skal fungere som datalager for klyngen, i henhold til Krav til databaseserver . databaseserver må være lokalisert i det sikre datasenter med de virtuelle vertene. | ||
5 | Hvis du vil ha rask gjenoppretting ved katastrofegjenoppretting, konfigurerer du et sikkerhetskopimiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet for virtuelle datamaskiner og en databaseserver. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. | ||
6 | Konfigurer en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadresse og syslog-porten (standard er UDP 514). | ||
7 | Opprett en sikker sikkerhetskopieringspolicy for Hybrid Data Security-nodene, databaseserver og syslog-verten. For å forhindre tap av ugjenopprettelig data må du som et minimum sikkerhetskopiere databasen og ISO-konfigurasjonsfilen som er generert for Hybrid Data Security-nodene.
Webex App-klienter hurtigbufrer nøklene sine, så et driftsbrudd vil kanskje ikke merkes umiddelbart, men vil bli tydelig over tid. Selv om midlertidige strømbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopier tilgjengelig) av enten databasen eller ISO-konfigurasjonsfilen vil imidlertid føre til kundedata som ikke kan gjenopprettes. Operatørene av Hybrid Data Security-nodene forventes å opprettholde hyppige sikkerhetskopier av databasen og ISO-konfigurasjonsfilen, og være forberedt på å gjenoppbygge Hybrid Data Security datasenter hvis det oppstår en katastrofal feil. | ||
8 | Kontroller at brannmurkonfigurasjonen tillater tilkobling for Hybrid Data Security-nodene som angitt i Krav til ekstern tilkobling . | ||
9 | Installer Docker (https://www.docker.com ) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til den på http://127.0.0.1:8080. Du bruker Docker-forekomsten til å laste ned og kjøre installasjonsverktøyet for HDS, som bygger den lokale konfigurasjonsinformasjon for alle Hybrid Data Security-nodene. Organisasjonen din kan trenge en Docker Desktop-lisens. Se Krav til Docker-skrivebord hvis du vil ha mer informasjon. Hvis du vil installere og kjøre HDS-installasjonsverktøyet, må den lokale maskinen ha tilkoblingsmulighetene som er angitt i Krav til ekstern tilkobling . | ||
10 | Hvis du integrerer en proxy med Hybrid Data Security, må du kontrollere at den oppfyller Krav til proxy-server . | ||
11 | Hvis organisasjonen din bruker katalogsynkronisering, oppretter du en gruppe i Active Directory som heter
|
Oppgaveflyt for distribusjon av hybrid datasikkerhet
Før du starter
1 |
Last ned OVA-filen til din lokale maskin for senere bruk. | ||
2 | Opprett en konfigurasjons-ISO for HDS-vertene Bruk HDS-oppsettverktøyet til å opprette en ISO konfigurasjonsfil for hybriddatasikkerhetsnodene. | ||
3 |
Opprett en virtuell maskin fra OVA-filen og utfør den første konfigurasjonen, for eksempel nettverksinnstillinger.
| ||
4 | Konfigurer den virtuelle hybriddatasikkerhetsmaskinen Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon. | ||
5 | Last opp og monter HDS-konfigurasjons-ISO Konfigurer den virtuelle maskinen fra ISO konfigurasjonsfil du opprettet med HDS-installasjonsverktøyet. | ||
6 | Konfigurere HDS-noden for proxy-integrasjon Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du proxy-typen du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig. | ||
7 | Registrer den første noden i klyngen Registrer den virtuelle maskinen med Cisco Webex skyen som en hybrid datasikkerhetsnode. | ||
8 | Opprett og registrer flere noder Fullfør klyngeoppsettet. | ||
9 | Kjør en prøveversjon og gå til produksjon (neste kapittel) Frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert. |
Last ned installasjonsfiler
1 | Logg påhttps://admin.webex.com , og klikk deretter Tjenester . | ||||
2 | Finn Hybrid Data Security-kortet under Hybridtjenester, og klikk deretter på Konfigurer . Hvis kortet er deaktivert eller du ikke ser det, kontakter du kontoteamet ditt eller partnerorganisasjonen din. Gi dem kontonummeret ditt, og be om å aktivere organisasjonen din for Hybrid Data Security. Hvis du vil finne kontonummeret, klikker du på tannhjulet øverst til høyre, ved siden av organisasjonsnavnet.
| ||||
3 | Velg Nei for å indikere at du ikke har satt opp noden ennå, og klikk deretter på Neste . Nedlastingen av OVA-filen begynner automatisk. Lagre filen et sted på maskinen.
| ||||
4 | Du kan også klikke på Åpne Distribusjonsveiledning for å sjekke om det finnes en nyere versjon av denne veiledningen. |
Opprett en konfigurasjons-ISO for HDS-vertene
Konfigurasjonsprosessen for Hybrid Data Security oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere Hybrid Data Security-verten.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariabler når du henter frem Docker-beholderen i trinn 5 . Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen når du gjør konfigurasjonsendringer, for eksempel disse:
Databaselegitimasjon
Sertifikatoppdateringer
Endringer i retningslinjene for autorisasjon
Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du PostgreSQL- eller SQL Server-distribusjonen for TLS.
1 | På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende:
| ||||||||||||
3 | Når du blir bedt om passord, skriver du inn denne hashen:
| ||||||||||||
4 | Last ned det nyeste stabile bildet for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:
Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080». | ||||||||||||
6 |
Bruk en nettleser til å gå til den lokale verten, Verktøyet bruker denne første oppføringen i brukernavnet til å angi riktig miljø for den kontoen. Verktøyet viser deretter standard påloggingsmelding. | ||||||||||||
7 | Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Control Hub-kundeadministratoren, og klikker deretter på Logg inn for å gi tilgang til de nødvendige tjenestene for Hybrid Data Security. | ||||||||||||
8 | På oversiktssiden for installasjonsverktøy klikker du på Kom i gang . | ||||||||||||
9 | På ISO-import side, har du disse alternativene:
| ||||||||||||
10 | Kontroller at X.509-sertifikatet oppfyller kravene i Krav til X.509-sertifikater .
| ||||||||||||
11 | Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret: | ||||||||||||
12 | Velg en Tilkoblingsmodus for TLS-database :
Når du laster opp rotsertifikat (om nødvendig), og klikker Fortsett tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserver. Verktøyet bekrefter også sertifikatunderskriveren og vertsnavnet, hvis det er aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan det hende at HDS-nodene kan opprette TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.) | ||||||||||||
13 | Konfigurer Syslogd-serveren på siden Systemlogger: | ||||||||||||
14 | (Valgfritt) Du kan endre standardverdi for noen databasetilkoblingsparametere i Avanserte innstillinger . Vanligvis er denne parameteren den eneste du kanskje vil endre:
| ||||||||||||
15 | Klikk på Fortsett på Tilbakestill passordet for tjenestekontoer skjermen. Passord for tjenestekontoer har en levetid på ni måneder. Bruk denne skjermen når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem for å ugyldiggjøre tidligere ISO-filer. | ||||||||||||
16 | Klikk på Last ned ISO-fil . Lagre filen på et sted som er lett å finne. | ||||||||||||
17 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||||||||||||
18 | Hvis du vil avslutte konfigureringsverktøyet, skriver du inn |
Hva nå?
Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.
Vi har aldri en kopi av denne nøkkelen, og kan ikke hjelpe hvis du mister den. |
Installer HDS Host OVA
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten. | ||||||
2 | Velg Fil > Distribuer OVF-mal . | ||||||
3 | Angi plasseringen av OVA-filen du lastet ned tidligere i veiviseren, og klikk deretter på Neste . | ||||||
4 | På Velg et navn og en mappe side, skriver du inn en Navn på virtuell maskin for noden (for eksempel «HDS_ Node_ 1"), velg et sted der nodedistribusjonen for den virtuell maskin kan ligge, og klikk deretter Neste . | ||||||
5 | På Velg en databehandlingsressurs -siden, velg måldataressursen, og klikk deretter Neste . Det kjøres en valideringskontroll. Når den er fullført, vises maldetaljene. | ||||||
6 | Kontroller maldetaljene, og klikk deretter på Neste . | ||||||
7 | Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon side, klikk 4 CPUer og klikk deretter Neste . | ||||||
8 | På Velg lagring side, klikk Neste for å godta standard diskformat og retningslinjer for VM-lagring. | ||||||
9 | På Velg nettverk -siden, velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til den virtuelle maskinen. | ||||||
10 | På Tilpass mal side, konfigurerer du følgende nettverksinnstillinger:
Hvis du foretrekker det, kan du hoppe over konfigurasjonen av nettverksinnstillinger og følge trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen for å konfigurere innstillingene fra nodekonsollen.
| ||||||
11 | Høyreklikk på den virtuelle noden, og velg deretter .Hybrid Data Security-programvaren installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden. Feilsøkingstips Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen ved første oppstart, der du ikke kan logge på. |
Konfigurer den virtuelle hybriddatasikkerhetsmaskinen
Bruk denne fremgangsmåten til å logge på VM-konsollen for Hybrid Data Security-noden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.
1 | I VMware vSphere-klienten velger du den virtuelle hybriddatasikkerhetsnoden og velger Konsoll -fanen. Den virtuelle maskinen starter opp, og det vises en påloggingsmelding. Hvis påloggingsmeldingen ikke vises, trykker du på Gå inn .
|
2 | Bruk følgende standard påloggingsinformasjon og passord for å logge på og endre legitimasjonen: Siden du logger på den virtuelle maskinen for første gang, må du endre administrator . |
3 | Hvis du allerede har konfigurert nettverksinnstillinger i Installer HDS Host OVA , hopper du over resten av denne prosedyren. Ellers velger du på hovedmeny Rediger konfigurasjon alternativet. |
4 | Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke. |
5 | (Valgfritt) Endre vertsnavnet, domenet eller NTP-server(e) om nødvendig for å samsvare med nettverkspolicyen din. Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet. |
6 | Lagre nettverkskonfigurasjon og start den virtuelle maskinen på nytt slik at endringene trer i kraft. |
Last opp og monter HDS-konfigurasjons-ISO
Før du starter
Siden ISO-filen inneholder hovednøkkelen, bør den bare vises på en «trenger å vite»-basis, for tilgang for de virtuelle hybriddatasikkerhets-ene og alle administratorer som måtte trenge å gjøre endringer. Kontroller at bare disse administratorene har tilgang til datalageret.
1 | Last opp ISO-filen fra datamaskinen: |
2 | Monter ISO-filen: |
Hva nå?
Hvis IT-retningslinjene krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene dine har registrert konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.
Konfigurere HDS-noden for proxy-integrasjon
Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybriddatasikkerhet. Hvis du velger en gjennomsiktig inspeksjonsproxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet og feilsøke eventuelle problemer.
Før du starter
Se Proxy-støtte hvis du vil ha en oversikt over proxy-alternativene som støttes.
1 | Angi URL-adressen til oppsett av HDS-node |
2 | Gå til Klareringslager og proxy, og velg deretter et alternativ:
Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en HTTP-eksplisitt proxy med enkel godkjenning eller en eksplisitt HTTPS-proxy. |
3 | Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen. Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på vinkeltegnpilen ved navnet på sertifikatutstederen for å få flere detaljer, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt. |
4 | Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen. Hvis tilkoblingstesten mislykkes, ser du en feilmelding som viser årsaken og hvordan du kan løse problemet. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne betingelsen forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene, og deretter ser du Slå av blokkert ekstern DNS-oppløsningsmodus . |
5 | Etter at tilkoblingstesten blir bestått, kun for eksplisitt proxy satt til https, setter du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen trer i kraft etter 15 sekunder. |
6 | Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en HTTP-eksplisitt proxy), les ledeteksten, og klikk deretter på Installer hvis du er klar. Noden starter på nytt i løpet av noen få minutter. |
7 | Når noden har startet på nytt, logger du på igjen om nødvendig, og deretter åpner du Oversikt-siden for å kontrollere tilkoblingskontrollene for å sikre at alle har grønn status. Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det oppstår tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen. |
Registrer den første noden i klyngen
Når du registrerer den første noden, oppretter du en klynge som noden er tilordnet. En klynge inneholder én eller flere noder distribuert for å gi redundans.
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Logg på https://admin.webex.com. |
2 | Fra menyen på venstre side av skjermen velger du Tjenester . |
3 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Konfigurer . Siden Registrer hybrid node for datasikkerhet vises.
|
4 | Velg Ja for å indikere at du har satt opp noden og er klar til å registrere den, og klikk deretter på Neste . |
5 | I det første feltet skriver du inn et navn på klyngen du vil tilordne Hybrid Data Security-noden til. Vi anbefaler at du gir navn til en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: «San Francisco» eller «New York» eller «Dallas» |
6 | I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste . Denne IP-adresse eller FQDN må samsvare med IP-adresse eller vertsnavnet og domenet du brukte i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . Det vises en melding som angir at du kan registrere noden til Webex.
|
7 | Klikk på Gå til Node . |
8 | Klikk på Fortsett i advarselsmelding. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til Webex-organisasjonen din for å få tilgang til noden.
|
9 | Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett . Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
|
10 | Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden. På Hybrid datasikkerhet side, vises den nye klyngen som inneholder noden du registrerte. Noden vil automatisk laste ned den nyeste programvaren fra skyen.
|
Opprett og registrer flere noder
På dette tidspunktet er de virtuelle sikkerhetskopiene-ene du opprettet i Fullfør forutsetningene for hybrid datasikkerhet er standby-verter som bare brukes i tilfelle katastrofegjenoppretting; de er ikke registrert i systemet før da. Hvis du vil ha mer informasjon, se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus . |
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA . |
2 | Konfigurer den første konfigurasjonen på den nye virtuelle maskinen, og gjenta trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . |
3 | Gjenta trinnene i den nye VM-en Last opp og monter HDS-konfigurasjons-ISO . |
4 | Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrering etter behov for den nye noden. |
5 | Registrer noden. Noden din er registrert. Merk at frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.
|
Hva nå?
Oppgaveflyt fra prøveversjon til produksjon
Når du har konfigurert en Hybrid Data Security-klynge, kan du starte en pilot, legge til brukere i den og begynne å bruke den til testing og bekreftelse av distribusjonen som forberedelse til overgang til produksjon.
Før du starter
1 | Hvis det er aktuelt, synkroniserer du Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge |
2 |
Start en prøveversjon. Frem til du gjør denne oppgaven, genererer nodene en alarm som indikerer at tjenesten ennå ikke er aktivert. |
3 | Test hybriddistribusjonen av datasikkerhet Kontroller at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen. |
4 | Overvåke helse for hybrid datasikkerhet Sjekk status, og konfigurer e-postvarsler for alarmer. |
5 | |
6 | Fullfør prøveperioden med én av følgende handlinger: |
Aktiver prøveversjon
Før du starter
Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup
gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.
1 | Logg påhttps://admin.webex.com , og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Start prøveversjonen . Tjenestestatusen endres til prøveversjonsmodus.
|
4 | Klikk på Legg til brukere og angi e-postadresse til én eller flere brukere for å prøve å bruke Hybrid Data Security-nodene for kryptering og indekseringstjenester. (Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory til å administrere prøvegruppen, |
Test hybriddistribusjonen av datasikkerhet
Før du starter
Konfigurer Hybrid Data Security-distribusjonen.
Aktiver prøveversjonen, og legg til flere prøveversjonsbrukere.
Kontroller at du har tilgang til syslog for å bekrefte at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.
1 | Taster for et gitt område angis av oppretteren av området. Logg på Webex-appen som én av pilotbrukerne, og opprett deretter et område og inviter minst én pilotbruker og én ikke-pilotbruker.
| ||
2 | Send meldinger til det nye området. | ||
3 | Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til Hybrid Data Security-distribusjonen. |
Overvåke helse for hybrid datasikkerhet
1 | I Kontrollhub , velger du Tjenester fra menyen på venstre side av skjermen. |
2 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Innstillinger . Siden Innstillinger for hybrid datasikkerhet vises.
|
3 | I delen E-postvarsler skriver du inn én eller flere e-postadresser atskilt med komma, og trykker på Gå inn . |
Legg til eller fjern brukere fra prøveversjonen
Hvis du fjerner en bruker fra prøveversjonen, vil brukerens klient be om å opprette nøkler og nøkler fra KMS-skyen i stedet for KMS-en din. Hvis klienten trenger en nøkkel som er lagret på KMS-en, vil KMS-en i skyen hente den på brukerens vegne.
Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory (i stedet for denne prosedyren) til å administrere prøvegruppen, HdsTrialGroup
; du kan vise gruppemedlemmene i Control Hub, men kan ikke legge til eller fjerne dem.
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Prøvemodus i området Tjenestestatus klikker du på Legg til brukere , eller klikk vise og redigere for å fjerne brukere fra prøveversjonen. |
4 | Skriv inn e-postadresse til én eller flere brukere som skal legges til, eller klikk på X av en bruker-ID for å fjerne brukeren fra prøveversjonen. Klikk deretter på Lagre. |
Gå fra prøveversjon til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Flytt til produksjon . |
4 | Bekreft at du vil flytte alle brukerne til produksjon. |
Avslutt prøveversjonen uten å gå til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I Deaktiver-delen klikker du på Deaktiver . |
4 | Bekreft at du vil deaktivere tjenesten og avslutte prøveversjonen. |
Behandle HDS-distribusjon
Bruk oppgavene som er beskrevet her, til å administrere Hybrid Data Security-distribusjonen.
Angi tidsplan for klyngeoppgradering
Slik angir du oppgraderingsplanen:
1 | Logg på Kontrollhub . |
2 | På Oversikt-siden, under Hybridtjenester, velger du Hybrid datasikkerhet . |
3 | Velg klyngen på siden Hybriddatasikkerhetsressurser. |
4 | I Oversikt-panelet til høyre, under Klyngeinnstillinger, velger du klyngenavnet. |
5 | På Innstillinger-siden, under Oppgradering, velger du tid og tidssone for oppgraderingsplanen. Merk: Under tidssone vises dato og klokkeslett for neste tilgjengelige oppgradering. Du kan om nødvendig utsette oppgraderingen til neste dag ved å klikke på Utsette . |
Endre nodekonfigurasjonen
Endring av x.509-sertifikater på grunn av utløpsdato eller andre årsaker.
Vi støtter ikke endring av CN- domenenavn for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.
Oppdaterer databaseinnstillinger for å endre til en replika av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt vei. Hvis du vil bytte databasemiljø, starter du en ny distribusjon av Hybrid Data Security.
Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.
Av sikkerhetsmessige årsaker bruker Hybriddata-sikkerhet passord som har en levetid på ni måneder på tjenestekontoer. HDS-installasjonsverktøyet genererer disse passordene, og du distribuerer dem til hver av HDS-nodene dine som en del av ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløp, mottar du et «Varsel om utløp av passord» fra Webex-teamet, der du blir bedt om å tilbakestille passordet for maskinkontoen. (E-posten inneholder teksten «Bruk maskinkontoens API til å oppdatere passordet.») Hvis passordene ikke er utløpt ennå, gir verktøyet deg to alternativer:
Myk tilbakestilling – Det gamle og det nye passordet fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.
Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.
Hvis passordene dine utløper uten en tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.
Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du henter opp Docker-beholderen i 1.e . Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO-en inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO-en når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i autorisasjonspolicy.
1 | Kjør HDS-konfigureringsverktøyet via Docker på en lokal maskin. |
2 | Hvis du kun kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den via den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, se Opprett og registrer flere noder . |
3 | For eksisterende HDS-noder som kjører den eldre konfigurasjonsfil, monterer du ISO-filen. Utfør følgende prosedyre på hver node etter tur, og oppdater hver node før du slår av neste node: |
4 | Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen. |
Deaktiver blokkert ekstern DNS-oppløsningsmodus
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modusen blokkert ekstern DNS-oppløsning.
Hvis nodene kan løse offentlige DNS-navn via interne DNS-servere, kan du deaktivere denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.
Før du starter
1 | Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/-oppsett, for eksempel https://192.0.2.0/setup),angi administratorlegitimasjonen du konfigurerte for noden, og klikk deretter på Logg på. |
2 | Gå til Oversikt (standardsiden). Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja. |
3 | Gå til siden Klareringslager og proxy. |
4 | Klikk på Kontroller proxy-tilkobling. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og den vil forbli i denne modusen. Ellers, etter at du har startet noden på nytt og gått tilbake til Oversikt-siden, bør Blokkert ekstern DNS-oppløsning settes til Nei. |
Hva nå?
Fjerne en node
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuell maskin. |
2 | Fjern noden: |
3 | Slett den virtuelle maskinen i vSphere-klienten. (I venstre navigasjonsrute høyreklikk du på den virtuelle maskinen og klikker Slett .) Hvis du ikke sletter den virtuelle maskinen, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke den virtuelle maskinen til å få tilgang til sikkerhetsdataene dine. |
Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus
Den mest kritiske tjenesten Hybrid Data Security-klyngen tilbyr, er opprettelse og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet Hybrid Data Security, rutes nye forespørsler om å opprette nøkkel til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til alle brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.
Siden klyngen utfører den kritiske funksjonen med å oppgi disse nøklene, er det viktig at klyngen fortsetter å kjøre og at forsvarlige sikkerhetskopier opprettholdes. Tap av Hybrid Data Security-databasen eller av ISO-konfigurasjonen som ble brukt for skjemaet, vil føre til TAP av kundeinnhold som ikke kan gjenopprettes. Følgende fremgangsmåter er obligatoriske for å forhindre slikt tap:
Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenter blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til datasenter i ventemodus.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene . | ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor eller fjerner
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
(Valgfritt) Avmonter ISO etter HDS-konfigurasjon
Standard HDS-konfigurasjonen kjører med ISO-en montert. Men noen kunder foretrekker å ikke la ISO-filer være kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-noder har plukket opp den nye konfigurasjonen.
Du bruker fortsatt ISO-filene til å gjøre konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO via installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene dine har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en på nytt med denne prosedyren.
Før du starter
Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.
1 | Avslutt én av HDS-nodene dine. |
2 | I vCenter Server Appliance velger du HDS-noden. |
3 | Velg ISO-fil for datalager . og fjern merket |
4 | Slå på HDS-noden og kontroller at det ikke er noen alarmer på minst 20 minutter. |
5 | Gjenta for hver HDS-node etter tur. |
Vis varsler og feilsøking
En Hybrid Data Security-distribusjon anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller hvis klyngen fungerer så sakte at forespørslene tidsavbrudd. Hvis brukere ikke kan nå Hybrid Data Security-klyngen, opplever de følgende symptomer:
Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)
Meldinger og områdetitler kan ikke dekrypteres for:
Nye brukere lagt til i et område (kan ikke hente nøkler)
Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)
Eksisterende brukere i et område fortsetter å kjøre så lenge klientene deres har en hurtigbuffer for krypteringsnøklene
Det er viktig at du overvåker Hybrid Data Security-klyngen på riktig måte og adresserer alle varsler umiddelbart for å unngå avbrudd i tjenesten.
Varsler
Hvis det er et problem med oppsettet av Hybrid Data Security, viser Control Hub varsler til administrator og sender e-postmeldinger til den konfigurerte e-postadresse. Varslene dekker mange vanlige scenarier.
Varsel | Handling |
---|---|
Feil ved tilgang til lokal database. |
Se etter databasefeil eller problemer med det lokale nettverket. |
tilkoblingsfeil til lokal database. |
Kontroller at databaseserver er tilgjengelig, og at riktig påloggingsinformasjon for tjenestekonto ble brukt i nodekonfigurasjonen. |
Tilgangsfeil for skytjeneste. |
Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling . |
Fornyer registrering av skytjeneste. |
Registrering for skytjenester ble avbrutt. Fornyelse av registrering pågår. |
Registrering av skytjeneste ble avbrutt. |
Registreringen til skytjenester ble avsluttet. Tjenesten avsluttes. |
Tjenesten ikke aktivert ennå. |
Aktiver en prøveversjon, eller fullfør flyttingen av prøveversjonen til produksjon. |
Det konfigurerte domenet samsvarer ikke med serversertifikat. |
Kontroller at serversertifikat samsvarer med det konfigurerte domenet for tjenesteaktivering. Den mest sannsynlige årsaken er at sertifikatet CN nylig ble endret og nå er forskjellig fra CN som ble brukt under det første oppsettet. |
Kunne ikke autentisere for skytjenester. |
Se etter nøyaktighet og mulig utløp av legitimasjon for tjenestekonto . |
Kunne ikke åpne den lokale nøkkellagerfilen. |
Se etter integritet og passordnøyaktighet i den lokale nøkkellagerfilen. |
Det lokale serversertifikat er ugyldig. |
Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans. |
Kan ikke legge inn beregninger. |
Sjekk lokal nettverkstilgang til eksterne skytjenester. |
Katalogen /media/configdrive/hds finnes ikke. |
Kontroller konfigurasjonen for ISO-montering på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å montere ved omstart, og at den er vellykket. |
Feilsøke hybrid datasikkerhet
1 | Se gjennom Control Hub for å se eventuelle varsler, og reparer alle elementer du finner der. |
2 | Se gjennom syslog-serverutdataene for aktivitet fra Hybrid Data Security-distribusjonen. |
3 | Kontakt Cisco-støtte . |
Kjente problemer med hybrid datasikkerhet
Hvis du avslutter Hybrid Data Security-klyngen (ved å slette den i Control Hub eller ved å avslutte alle noder), mister ISO-konfigurasjonsfilen eller mister tilgangen til nøkkellagerdatabasen, kan brukerne av Webex-appen ikke lenger bruke områder under Personene sine liste som ble opprettet med nøkler fra KMS. Dette gjelder både prøveversjon og produksjonsdistribusjoner. Vi har for øyeblikket ingen løsning eller løsning for dette problemet, og vi ber deg innstendig om ikke å avslutte HDS-tjenestene dine når de håndterer aktive brukerkontoer.
En klient som har en eksisterende ECDH-tilkobling til en KMS, opprettholder denne tilkoblingen i en periode (sannsynligvis én time). Når en bruker blir medlem av en prøveversjon av Hybrid Data Security, fortsetter brukerens klient å bruke den eksisterende ECDH-tilkoblingen frem til tidsavbrudd. Alternativt kan brukeren logge av og på igjen Webex-appen for å oppdatere plasseringen appen kontakter for krypteringsnøkler.
Den samme virkemåten oppstår når du flytter en prøveversjon til produksjon for organisasjonen. Alle ikke-prøvebrukere med eksisterende ECDH-tilkoblinger til de tidligere datasikkerhetstjenestene vil fortsette å bruke disse tjenestene til ECDH-tilkoblingen reforhandles (gjennom tidsavbrudd eller ved å logge av og på igjen).
Bruk OpenSSL til å generere en PKCS12-fil
Før du starter
OpenSSL er ett verktøy som kan brukes til å gjøre PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi hverken støtter eller promoterer én måte fremfor en annen.
Hvis du velger å bruke OpenSSL, tilbyr vi denne fremgangsmåten som en retningslinje for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i Krav til X.509-sertifikater . Forstå disse kravene før du fortsetter.
Installer OpenSSL i et støttet miljø. Sehttps://www.openssl.org for programvaren og dokumentasjonen.
Opprett en privat nøkkel.
Start denne prosedyren når du mottar serversertifikat fra sertifiseringsinstans (CA).
1 | Når du mottar serversertifikat fra CA, lagrer du det som |
2 | Vis sertifikatet som tekst, og bekreft detaljene.
|
3 | Bruk et tekstredigeringsprogram til å opprette en sertifikatpakkefil kalt
|
4 | Opprett .p12-filen med det vennlige navnet
|
5 | Kontroller serversertifikat . |
Hva nå?
Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet . Du vil bruke hdsnode.p12
filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-vertene .
Du kan bruke disse filene på nytt til å be om et nytt sertifikat når det opprinnelige sertifikatet utløper. |
Trafikk mellom HDS-nodene og skyen
Utgående trafikk for innsamling av beregninger
Hybriddatasikkerhetsnodene sender bestemte beregninger til Webex-skyen. Disse inkluderer systemmålinger for maks. haug, brukt haug, CPU-belastning og antall tråder. målinger for synkrone og asynkrone tråder; målinger for varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller en forespørselskølengde; målinger på datalageret; og måleverdier for krypteringstilkobling. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).
Innkommende trafikk
Hybriddatasikkerhetsnodene mottar følgende typer innkommende trafikk fra Webex-skyen:
Krypteringsforespørsler fra klienter, som rutes av krypteringstjenesten
Oppgraderinger til nodeprogramvaren
Konfigurer Squid-proxyer for hybrid datasikkerhet
Websocket kan ikke koble til via Squid-proxy
Squid-proxyer som inspiserer HTTPS-trafikk, kan forstyrre etableringen av websocket ( wss:
)-tilkoblinger som Hybrid Data Security krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss:
trafikk for riktig drift av tjenestene.
Squid 4 og 5
Legg til on_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi testet Hybrid Data Security med følgende regler lagt til squid.conf
. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Ny og endret informasjon
Dato | Endringer gjort | ||
---|---|---|---|
20. oktober 2023 |
| ||
7. august 2023 |
| ||
23. mai 2023 |
| ||
6. desember 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop må kjøre et installasjonsprogram før du kan installere HDS-noder. Se Krav til Docker-skrivebord . | ||
24. juni 2021 | Merk at du kan bruke den private nøkkelfilen og CSR-en på nytt for å be om et annet sertifikat. Se Bruk OpenSSL til å generere en PKCS12-fil for detaljer. | ||
30. april 2021 | Endret VM-kravet for lokal harddiskplass til 30 GB. Se Krav til virtuell vert for detaljer. | ||
24. februar 2021 | HDS-installasjonsverktøyet kan nå kjøres bak en proxy. Se Opprett en konfigurasjons-ISO for HDS-vertene for detaljer. | ||
2. februar 2021 | HDS kan nå kjøres uten en montert ISO-fil. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer. | ||
11. januar 2021 | Lagt til informasjon om HDS-oppsettverktøy og proxyer til Opprett en konfigurasjons-ISO for HDS-vertene . | ||
13. oktober 2020 | Oppdatert Last ned installasjonsfiler . | ||
8. oktober 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med kommandoer for FedRAMP-miljøer. | ||
14. august 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med endringer i påloggingsprosessen. | ||
5. august 2020 | Oppdatert Test hybriddistribusjonen av datasikkerhet for endringer i loggmeldinger. Oppdatert Krav til virtuell vert for å fjerne maksimalt antall verter. | ||
16. juni 2020 | Oppdatert Fjerne en node for endringer i Control Hub-grensesnittet. | ||
4. juni 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for endringer i de avanserte innstillingene du måtte angi. | ||
29. mai 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for å vise at du også kan bruke TLS med SQL Server-databaser, brukergrensesnittendringer og andre presiseringer. | ||
5. mai 2020 | Oppdatert Krav til virtuell vert for å vise nye krav til ESXi 6.5. | ||
21. april 2020 | Oppdatert Krav til ekstern tilkobling med nye Americas CI-verter. | ||
1. april 2020 | Oppdatert Krav til ekstern tilkobling med informasjon om regionale CI-verter. | ||
20. februar 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med informasjon om det nye, valgfrie skjermbildet for avanserte innstillinger i HDS-oppsettverktøyet. | ||
4. februar 2020 | Oppdatert Krav til proxy-server . | ||
16. desember 2019 | Klargjorde kravet om at blokkert ekstern DNS-oppløsningsmodus skal fungere i Krav til proxy-server . | ||
19. november 2019 | La til informasjon om blokkert ekstern DNS-oppløsningsmodus i følgende deler: | ||
8. november 2019 | Du kan nå konfigurere nettverksinnstillinger for en node mens du distribuerer OVA i stedet for etterpå. Oppdaterte følgende deler tilsvarende:
| ||
6. september 2019 | Lagt til SQL Server Standard i Krav til databaseserver . | ||
29. august 2019 | Lagt til Konfigurer Squid-proxyer for hybrid datasikkerhet vedlegg med veiledning om konfigurering av Squid-proxyer til å ignorere websocket-trafikk for riktig drift. | ||
20. august 2019 | Lagt til og oppdaterte deler for å dekke proxy-støtte for hybrid datasikkerhetsnodekommunikasjon til Webex-skyen. Hvis du bare vil ha tilgang til proxy-støtteinnholdet for en eksisterende distribusjon, kan du se Proxy-støtte for hybrid datasikkerhet og Webex-videonett hjelpeartikkel. | ||
13. juni 2019 | Oppdatert Oppgaveflyt fra prøveversjon til produksjon med en påminnelse om å synkronisere HdsTrialGroup gruppeobjekt før du starter en prøveversjon hvis organisasjonen bruker katalogsynkronisering. | ||
6. mars 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. mai 2018 | Endret terminologi for å gjenspeile endringen av varemerke for Cisco Spark:
| ||
11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
2. november 2017 |
| ||
18. august 2017 | Først publisert |
Oversikt over hybrid datasikkerhet
Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er ende-til-ende-kryptering av innhold, aktivert av Webex App-klienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografinøklene som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.
Som standard får alle Webex App-kunder ende-til-ende-kryptering med dynamiske nøkler lagret i KMS-skyen, i Ciscos sikkerhetsområde. Hybrid datasikkerhet flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, slik at ingen andre enn deg har nøklene til ditt krypterte innhold.
Arkitektur for sikkerhetsriket
Webex-skyarkitekturen skiller forskjellige typer tjenester i separate områder, eller klareringsdomener, som vist nedenfor.
For å forstå Hybrid Data Security ytterligere, la oss først se på dette rene skysaken, der Cisco leverer alle funksjoner i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan korreleres direkte med personlig informasjon, for eksempel e-postadresse, er logisk og fysisk atskilt fra sikkerhetsområdet i datasenter B. Begge er igjen atskilt fra området der kryptert innhold til slutt lagres , i datasenter C.
I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og som er autentisert med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:
Klienten oppretter en sikker tilkobling med nøkkelbehandlingstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikker tilkobling bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en AES-256-hovednøkkel.
Meldingen krypteres før den forlater klienten. Klienten sender den til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe til med fremtidige søk etter innholdet.
Den krypterte meldingen sendes til samsvarstjenesten for samsvarskontroll.
Den krypterte meldingen lagres i lagringsområdet.
Når du distribuerer Hybrid Data Security, flytter du sikkerhetsområdets funksjoner (KMS, indeksering og samsvar) til det lokale datasenter. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos riker.
Samarbeide med andre organisasjoner
Brukere i organisasjonen din kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen (fordi det ble opprettet av en av brukerne), sender KMS-en nøkkelen til klienten over en ECDH-sikker kanal. Når en annen organisasjon eier nøkkelen for området, ruter KMS-en imidlertid forespørselen ut til Webex-skyen gjennom en egen ECDH-kanal for å hente nøkkelen fra riktig KMS, og returnerer deretter nøkkelen til brukeren på den opprinnelige kanalen.
KMS-tjenesten som kjøres på organisasjon A, validerer tilkoblingene til KMS-er i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet ditt for detaljer om generering av et x.509-sertifikat som skal brukes med Hybrid Data Security-distribusjonen.
Forventninger for distribusjon av hybrid datasikkerhet
En Hybrid Data Security-distribusjon krever betydelig kundeengasjement og en bevissthet om risikoene som følger med å eie krypteringsnøkler.
Hvis du vil distribuere Hybrid Data Security, må du oppgi:
Et sikkert datasenter i et land som er et støttet plassering for Cisco Webex Teams planene .
Utstyret, programvaren og nettverkstilgangen som er beskrevet i Forbered miljøet ditt .
Fullstendig tap av enten konfigurasjons-ISO-en du bygger for Hybrid Data Security eller databasen du oppgir, vil føre til tap av nøklene. Tap av nøkkel forhindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:
Behandle sikkerhetskopieringen og gjenopprettingen av databasen og konfigurasjonen av ISO.
Vær forberedt på å utføre rask gjenoppretting ved katastrofegjenoppretting hvis det oppstår en katastrofe, for eksempel en databasediskfeil eller en datasenter .
Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon. |
Konfigurasjonsprosess på høyt nivå
Dette dokumentet dekker oppsett og administrasjon av en Hybrid Data Security-distribusjon:
Konfigurer Hybrid Data Security – Dette inkluderer klargjøring av nødvendig infrastruktur og installasjon av Hybrid Data Security-programvare, testing av distribusjonen med et undersett av brukere i prøveversjonsmodus, og, når testingen er fullført, overgang til produksjon. Dette konverterer hele organisasjonen til å bruke Hybrid Data Security-klyngen for sikkerhetsfunksjoner.
Oppsett-, prøve- og produksjonsfasene dekkes i detalj i de neste tre kapitlene.
Vedlikeholde Hybrid Data Security-distribusjonen – Webex-skyen gir automatisk løpende oppgraderinger. IT-avdelingen din kan tilby nivå 1-støtte for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke skjermvarsler og konfigurere e-postbaserte varsler i Control Hub.
Forstå vanlige varsler, feilsøkingstrinn og kjente problemer –Hvis du får problemer med å distribuere eller bruke Hybrid Data Security, kan det siste kapitlet i denne veiledningen og tillegget Kjente problemer hjelpe deg med å finne ut og løse problemet.
Hybrid distribusjonsmodell for datasikkerhet
I foretningsdata distribuerer du Hybrid Data Security som én enkelt klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen gjennom sikre websockets og sikker HTTP.
Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere den virtuelle enheten på de virtuelle maskinene du oppgir. Du bruker installasjonsverktøyet for HDS til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Hybrid Data Security-klyngen bruker den medfølgende Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)
Det minste antallet noder du kan ha i en klynge, er to. Vi anbefaler minst tre, og du kan ha opptil fem. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)
Alle nodene i en klynge har tilgang til det samme nøkkeldatalageret og loggaktiviteten til den samme syslog-serveren. Nodene i seg selv er statsløse og håndterer nøkkelforespørsler på en roundrobin-måte, som anvist av skyen.
Nodene blir aktive når du registrerer dem i Control Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.
Vi støtter bare én klynge per organisasjon.
Prøveversjonsmodus for hybrid datasikkerhet
Etter at du har satt opp en Hybrid Data Security-distribusjon, kan du først prøve den med et sett med pilotbrukere. I løpet av prøveperioden bruker disse brukerne det lokale Hybrid Data Security-domenet ditt for krypteringsnøkler og andre sikkerhetstjenester. De andre brukerne dine fortsetter å bruke sikkerhetsområdet for skyen.
Hvis du bestemmer deg for ikke å fortsette med distribusjonen i løpet av prøveperioden og deaktivere tjenesten, mister pilotbrukerne og alle brukere de har samhandlet med ved å opprette nye områder i løpet av prøveperioden tilgangen til meldingene og innholdet. De vil se «Denne meldingen kan ikke dekrypteres» i Webex-appen.
Hvis du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, og du er klar til å utvide Hybrid Data Security til alle brukerne, flytter du distribusjonen til produksjon. Pilotbrukere fortsetter å ha tilgang til nøklene som var i bruk under prøveversjonen. Du kan imidlertid ikke gå frem og tilbake mellom produksjonsmodus og den opprinnelige prøveversjonen. Hvis du må deaktivere tjenesten, for eksempel for å utføre katastrofegjenoppretting, må du starte en ny prøveversjon og konfigurere settet med pilotbrukere for den nye prøveversjonen før du går tilbake til produksjonsmodus når du aktiverer den. Hvorvidt brukere beholder tilgangen til data på dette tidspunktet, avhenger av om du har vedlikeholdt sikkerhetskopier av datalager og ISO konfigurasjonsfil for Hybrid Data Security-nodene i klyngen.
Datasenter i ventemodus for katastrofegjenoppretting
Under distribusjonen konfigurerer du et sikkert datasenter i ventemodus . I tilfelle en datasenter , kan du feile distribusjonen manuelt over til datasenter i ventemodus .
Databasene til det aktive datasenteret og datasenteret i ventemodus er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover. ISO-filen til datasenter for ventemodus oppdateres med flere konfigurasjoner som sikrer at nodene registreres i organisasjonen, men ikke håndterer trafikk. Derfor forblir nodene i standby datasenter alltid oppdatert med den nyeste versjonen av HDS-programvaren.
De aktive hybriddatasikkerhetsnodene må alltid være i samme datasenter som den aktive databaseserver. |
Konfigurere datasenter i ventemodus for katastrofegjenoppretting
Følg trinnene nedenfor for å konfigurere ISO-filen for datasenter i ventemodus:
Før du starter
datasenter i ventemodus skal speile produksjonsmiljøet til virtuelle maskiner og en sikkerhetskopi av PostgreSQL- eller Microsoft SQL Server-database. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. (Se Datasenter i ventemodus for katastrofegjenoppretting for en oversikt over denne failover-modellen.)
Kontroller at databasesynkronisering er aktivert mellom databasen med aktive og passive klyngenoder.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .
| ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor for å plassere noden i passiv modus. I denne modusen vil noden være registrert i organisasjonen og koblet til skyen, men vil ikke håndtere trafikk.
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
Etter konfigurering passiveMode
i ISO-filen og lagrer den, kan du opprette en annen kopi av ISO-filen uten passiveMode
konfigurasjonen og lagre den på et sikkert sted. Denne kopien av ISO-filen uten passiveMode
konfigurert kan hjelpe i en rask failover-prosess under katastrofegjenoppretting. Se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus for den detaljerte failover-prosedyren.
Proxy-støtte
Hybriddatasikkerhet støtter eksplisitte, gjennomsiktige proxyer for inspeksjon og ikke-inspeksjon. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et grensesnitt for plattformadministrasjon på nodene for sertifikatadministrasjon og kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.
Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:
Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Klareringslager og proxy-konfigurasjon til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig ikke-inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse, og bør ikke trenge endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig tunnelering eller inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjon er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de klarerer proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer om hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og hvilken godkjenningsplan som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon for hver node:
Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.
Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.
Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:
HTTP – Viser og kontrollerer alle forespørsler som klienten sender.
HTTPS – Gir en kanal til serveren. Klienten mottar og godkjenner serverens sertifikat.
Godkjenningstype – Velg blant følgende godkjenningstyper:
Ingen – Ingen ytterligere godkjenning er nødvendig.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Grunnleggende – Brukes for en HTTP-brukeragent til å angi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.
Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Eksempel på noder og proxy for hybriddatasikkerhet
Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og HTTPS eksplisitt inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.
Blokkert ekstern DNS-oppløsningsmodus (eksplisitt proxy-konfigurasjoner)
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsningsmodus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.
Krav for hybrid datasikkerhet
Lisenskrav for Cisco Webex
Slik distribuerer du hybrid datasikkerhet:
Du må ha Pro Pack for Cisco Webex Control Hub. (Sehttps://www.cisco.com/go/pro-pack .)
Krav til Docker-skrivebord
Før du installerer HDS-nodene, må du ha Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig lisensieringsmodellen. Organisasjonen din kan kreve et betalt abonnement for Docker Desktop. Hvis du vil ha mer informasjon, se Docker-blogginnlegget, « Docker oppdaterer og utvider produktabonnementene våre «.
Krav til X.509-sertifikater
sertifikatkjede må oppfylle følgende krav:
Krav | Detaljer |
---|---|
| Som standard klarerer vi sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) påhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN-en trenger ikke å være tilgjengelig eller være en direktevert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel CN kan ikke inneholde en * (jokertegn). CN brukes til å bekrefte hybriddatasikkerhetsnodene til Webex App-klienter. Alle hybriddatasikkerhetsnodene i klyngen bruker det samme sertifikatet. KMS-en din identifiserer seg ved hjelp av CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene. Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN- domenenavn. Velg et domene som kan gjelde for både prøveversjonen og produksjonsdistribusjonene. |
| KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjoners KMS-er. |
| Du kan bruke et konverteringsprogram som OpenSSL til å endre sertifikatets format. Du må angi passordet når du kjører HDS-installasjonsverktøyet. |
KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifiseringsinstanser krever at utvidede begrensninger for nøkkelbruk brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.
Krav til virtuell vert
De virtuelle vertene som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen, har følgende krav:
Minst to separate verter (tre anbefales) plassert i det samme sikre datasenter
VMware ESXi 6.5 (eller nyere) er installert og kjører.
Du må oppgradere hvis du har en tidligere versjon av ESXi.
Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokal harddiskplass per server
Krav til databaseserver
Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene, når de er installert, oppretter databaseskjemaet. |
Det finnes to alternativer for databaseserver. Kravene for hver av dem er som følger:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) | Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) |
HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserver:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC-driver 42.2.5 | SQL Server JDBC-driver 4.6 Denne driverversjonen støtter SQL Server Always On ( Alltid på failover-klyngeforekomster og Alltid på tilgjengelighetsgrupper ). |
Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server
Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:
HDS-nodene, Active Directory -infrastrukturen og MS SQL Server må alle være synkronisert med NTP.
Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.
DNS-serverne du oppgir til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).
Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et Service Principal Name (SPN) i Active Directory. Se Registrer et hovednavn for tjeneste for Kerberos Connections .
HDS-oppsettverktøyet, HDS-startprogrammet og lokal KMS må alle bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN når de ber om tilgang med Kerberos-autentisering.
Krav til ekstern tilkobling
Konfigurer brannmuren til å tillate følgende tilkoblingsmuligheter for HDS-programmene:
Applikasjon | Protokoll | Port | Veibeskrivelse fra app | Destinasjon |
---|---|---|---|---|
Hybride datasikkerhetsnoder | TCP | 443 | Utgående HTTPS og WSS |
|
HDS-oppsettverktøy | TCP | 443 | Utgående HTTPS |
|
Hybrid Data Security-nodene fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmur tillater de nødvendige utgående tilkoblingene til domenemålene i den foregående tabellen. For tilkoblinger som går inn til Hybrid Data Security-nodene, skal ingen porter være synlige fra Internett. I datasenter ditt trenger klienter tilgang til hybriddatasikkerhetsnodene på TCP-portene 443 og 22 til administrative formål. |
URL-adressene for CI-vertene (Common Identity) er regionsspesifikke. Dette er de nåværende CI-vertene:
Region | Felles URL-adresser for vertsidentitet |
---|---|
Nord- og Sør-Amerika |
|
Den europeiske union |
|
Canada |
|
Krav til proxy-server
Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene dine for hybriddatasikkerhet.
Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).
Eksplisitt proxy – Squid.
Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av WebSocket (wss:) tilkoblinger. Hvis du vil omgå dette problemet, kan du se Konfigurer Squid-proxyer for hybrid datasikkerhet .
Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:
Ingen godkjenning med HTTP eller HTTPS
Enkel godkjenning med HTTP eller HTTPS
Sammendragsgodkjenning kun med HTTPS
Hvis du vil ha en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne håndboken beskriver hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnoder.
Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.
Proxyer som inspiserer nettrafikk, kan forstyrre WebSocket-tilkoblinger. Hvis dette problemet oppstår, kan du omgå (ikke inspisere) trafikk til
wbx2.com
ogciscospark.com
vil løse problemet.
Fullfør forutsetningene for hybrid datasikkerhet
1 | Kontroller at Webex-organisasjonen din er aktivert for Pro Pack for Cisco Webex Control Hub, og få legitimasjonen til en konto med fulle administrator . Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen. | ||
2 | Velg et domenenavn for HDS-distribusjonen (for eksempel | ||
3 | Klargjør identiske virtuelle verter som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen. Du trenger minst to separate verter (tre anbefales) plassert i det samme sikre datasenter, som oppfyller kravene i Krav til virtuell vert . | ||
4 | Klargjør databaseserver som skal fungere som datalager for klyngen, i henhold til Krav til databaseserver . databaseserver må være lokalisert i det sikre datasenter med de virtuelle vertene. | ||
5 | Hvis du vil ha rask gjenoppretting ved katastrofegjenoppretting, konfigurerer du et sikkerhetskopimiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet for virtuelle datamaskiner og en databaseserver. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. | ||
6 | Konfigurer en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadresse og syslog-porten (standard er UDP 514). | ||
7 | Opprett en sikker sikkerhetskopieringspolicy for Hybrid Data Security-nodene, databaseserver og syslog-verten. For å forhindre tap av ugjenopprettelig data må du som et minimum sikkerhetskopiere databasen og ISO-konfigurasjonsfilen som er generert for Hybrid Data Security-nodene.
Webex App-klienter hurtigbufrer nøklene sine, så et driftsbrudd vil kanskje ikke merkes umiddelbart, men vil bli tydelig over tid. Selv om midlertidige strømbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopier tilgjengelig) av enten databasen eller ISO-konfigurasjonsfilen vil imidlertid føre til kundedata som ikke kan gjenopprettes. Operatørene av Hybrid Data Security-nodene forventes å opprettholde hyppige sikkerhetskopier av databasen og ISO-konfigurasjonsfilen, og være forberedt på å gjenoppbygge Hybrid Data Security datasenter hvis det oppstår en katastrofal feil. | ||
8 | Kontroller at brannmurkonfigurasjonen tillater tilkobling for Hybrid Data Security-nodene som angitt i Krav til ekstern tilkobling . | ||
9 | Installer Docker (https://www.docker.com ) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til den på http://127.0.0.1:8080. Du bruker Docker-forekomsten til å laste ned og kjøre installasjonsverktøyet for HDS, som bygger den lokale konfigurasjonsinformasjon for alle Hybrid Data Security-nodene. Organisasjonen din kan trenge en Docker Desktop-lisens. Se Krav til Docker-skrivebord hvis du vil ha mer informasjon. Hvis du vil installere og kjøre HDS-installasjonsverktøyet, må den lokale maskinen ha tilkoblingsmulighetene som er angitt i Krav til ekstern tilkobling . | ||
10 | Hvis du integrerer en proxy med Hybrid Data Security, må du kontrollere at den oppfyller Krav til proxy-server . | ||
11 | Hvis organisasjonen din bruker katalogsynkronisering, oppretter du en gruppe i Active Directory som heter
|
Oppgaveflyt for distribusjon av hybrid datasikkerhet
Før du starter
1 |
Last ned OVA-filen til din lokale maskin for senere bruk. | ||
2 | Opprett en konfigurasjons-ISO for HDS-vertene Bruk HDS-oppsettverktøyet til å opprette en ISO konfigurasjonsfil for hybriddatasikkerhetsnodene. | ||
3 |
Opprett en virtuell maskin fra OVA-filen og utfør den første konfigurasjonen, for eksempel nettverksinnstillinger.
| ||
4 | Konfigurer den virtuelle hybriddatasikkerhetsmaskinen Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon. | ||
5 | Last opp og monter HDS-konfigurasjons-ISO Konfigurer den virtuelle maskinen fra ISO konfigurasjonsfil du opprettet med HDS-installasjonsverktøyet. | ||
6 | Konfigurere HDS-noden for proxy-integrasjon Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du proxy-typen du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig. | ||
7 | Registrer den første noden i klyngen Registrer den virtuelle maskinen med Cisco Webex skyen som en hybrid datasikkerhetsnode. | ||
8 | Opprett og registrer flere noder Fullfør klyngeoppsettet. | ||
9 | Kjør en prøveversjon og gå til produksjon (neste kapittel) Frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert. |
Last ned installasjonsfiler
1 | Logg påhttps://admin.webex.com , og klikk deretter Tjenester . | ||||
2 | Finn Hybrid Data Security-kortet under Hybridtjenester, og klikk deretter på Konfigurer . Hvis kortet er deaktivert eller du ikke ser det, kontakter du kontoteamet ditt eller partnerorganisasjonen din. Gi dem kontonummeret ditt, og be om å aktivere organisasjonen din for Hybrid Data Security. Hvis du vil finne kontonummeret, klikker du på tannhjulet øverst til høyre, ved siden av organisasjonsnavnet.
| ||||
3 | Velg Nei for å indikere at du ikke har satt opp noden ennå, og klikk deretter på Neste . Nedlastingen av OVA-filen begynner automatisk. Lagre filen et sted på maskinen.
| ||||
4 | Du kan også klikke på Åpne Distribusjonsveiledning for å sjekke om det finnes en nyere versjon av denne veiledningen. |
Opprett en konfigurasjons-ISO for HDS-vertene
Konfigurasjonsprosessen for Hybrid Data Security oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere Hybrid Data Security-verten.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariabler når du henter frem Docker-beholderen i trinn 5 . Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen når du gjør konfigurasjonsendringer, for eksempel disse:
Databaselegitimasjon
Sertifikatoppdateringer
Endringer i retningslinjene for autorisasjon
Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du PostgreSQL- eller SQL Server-distribusjonen for TLS.
1 | På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende:
| ||||||||||||
3 | Når du blir bedt om passord, skriver du inn denne hashen:
| ||||||||||||
4 | Last ned det nyeste stabile bildet for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:
Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080». | ||||||||||||
6 |
Bruk en nettleser til å gå til den lokale verten, Verktøyet bruker denne første oppføringen i brukernavnet til å angi riktig miljø for den kontoen. Verktøyet viser deretter standard påloggingsmelding. | ||||||||||||
7 | Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Control Hub-kundeadministratoren, og klikker deretter på Logg inn for å gi tilgang til de nødvendige tjenestene for Hybrid Data Security. | ||||||||||||
8 | På oversiktssiden for installasjonsverktøy klikker du på Kom i gang . | ||||||||||||
9 | På ISO-import side, har du disse alternativene:
| ||||||||||||
10 | Kontroller at X.509-sertifikatet oppfyller kravene i Krav til X.509-sertifikater .
| ||||||||||||
11 | Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret: | ||||||||||||
12 | Velg en Tilkoblingsmodus for TLS-database :
Når du laster opp rotsertifikat (om nødvendig), og klikker Fortsett tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserver. Verktøyet bekrefter også sertifikatunderskriveren og vertsnavnet, hvis det er aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan det hende at HDS-nodene kan opprette TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.) | ||||||||||||
13 | Konfigurer Syslogd-serveren på siden Systemlogger: | ||||||||||||
14 | (Valgfritt) Du kan endre standardverdi for noen databasetilkoblingsparametere i Avanserte innstillinger . Vanligvis er denne parameteren den eneste du kanskje vil endre:
| ||||||||||||
15 | Klikk på Fortsett på Tilbakestill passordet for tjenestekontoer skjermen. Passord for tjenestekontoer har en levetid på ni måneder. Bruk denne skjermen når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem for å ugyldiggjøre tidligere ISO-filer. | ||||||||||||
16 | Klikk på Last ned ISO-fil . Lagre filen på et sted som er lett å finne. | ||||||||||||
17 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||||||||||||
18 | Hvis du vil avslutte konfigureringsverktøyet, skriver du inn |
Hva nå?
Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.
Vi har aldri en kopi av denne nøkkelen, og kan ikke hjelpe hvis du mister den. |
Installer HDS Host OVA
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten. | ||||||
2 | Velg Fil > Distribuer OVF-mal . | ||||||
3 | Angi plasseringen av OVA-filen du lastet ned tidligere i veiviseren, og klikk deretter på Neste . | ||||||
4 | På Velg et navn og en mappe side, skriver du inn en Navn på virtuell maskin for noden (for eksempel «HDS_ Node_ 1"), velg et sted der nodedistribusjonen for den virtuell maskin kan ligge, og klikk deretter Neste . | ||||||
5 | På Velg en databehandlingsressurs -siden, velg måldataressursen, og klikk deretter Neste . Det kjøres en valideringskontroll. Når den er fullført, vises maldetaljene. | ||||||
6 | Kontroller maldetaljene, og klikk deretter på Neste . | ||||||
7 | Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon side, klikk 4 CPUer og klikk deretter Neste . | ||||||
8 | På Velg lagring side, klikk Neste for å godta standard diskformat og retningslinjer for VM-lagring. | ||||||
9 | På Velg nettverk -siden, velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til den virtuelle maskinen. | ||||||
10 | På Tilpass mal side, konfigurerer du følgende nettverksinnstillinger:
Hvis du foretrekker det, kan du hoppe over konfigurasjonen av nettverksinnstillinger og følge trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen for å konfigurere innstillingene fra nodekonsollen.
| ||||||
11 | Høyreklikk på den virtuelle noden, og velg deretter .Hybrid Data Security-programvaren installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden. Feilsøkingstips Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen ved første oppstart, der du ikke kan logge på. |
Konfigurer den virtuelle hybriddatasikkerhetsmaskinen
Bruk denne fremgangsmåten til å logge på VM-konsollen for Hybrid Data Security-noden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.
1 | I VMware vSphere-klienten velger du den virtuelle hybriddatasikkerhetsnoden og velger Konsoll -fanen. Den virtuelle maskinen starter opp, og det vises en påloggingsmelding. Hvis påloggingsmeldingen ikke vises, trykker du på Gå inn .
|
2 | Bruk følgende standard påloggingsinformasjon og passord for å logge på og endre legitimasjonen: Siden du logger på den virtuelle maskinen for første gang, må du endre administrator . |
3 | Hvis du allerede har konfigurert nettverksinnstillinger i Installer HDS Host OVA , hopper du over resten av denne prosedyren. Ellers velger du på hovedmeny Rediger konfigurasjon alternativet. |
4 | Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke. |
5 | (Valgfritt) Endre vertsnavnet, domenet eller NTP-server(e) om nødvendig for å samsvare med nettverkspolicyen din. Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet. |
6 | Lagre nettverkskonfigurasjon og start den virtuelle maskinen på nytt slik at endringene trer i kraft. |
Last opp og monter HDS-konfigurasjons-ISO
Før du starter
Siden ISO-filen inneholder hovednøkkelen, bør den bare vises på en «trenger å vite»-basis, for tilgang for de virtuelle hybriddatasikkerhets-ene og alle administratorer som måtte trenge å gjøre endringer. Kontroller at bare disse administratorene har tilgang til datalageret.
1 | Last opp ISO-filen fra datamaskinen: |
2 | Monter ISO-filen: |
Hva nå?
Hvis IT-retningslinjene krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene dine har registrert konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.
Konfigurere HDS-noden for proxy-integrasjon
Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybriddatasikkerhet. Hvis du velger en gjennomsiktig inspeksjonsproxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet og feilsøke eventuelle problemer.
Før du starter
Se Proxy-støtte hvis du vil ha en oversikt over proxy-alternativene som støttes.
1 | Angi URL-adressen til oppsett av HDS-node |
2 | Gå til Klareringslager og proxy, og velg deretter et alternativ:
Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en HTTP-eksplisitt proxy med enkel godkjenning eller en eksplisitt HTTPS-proxy. |
3 | Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen. Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på vinkeltegnpilen ved navnet på sertifikatutstederen for å få flere detaljer, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt. |
4 | Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen. Hvis tilkoblingstesten mislykkes, ser du en feilmelding som viser årsaken og hvordan du kan løse problemet. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne betingelsen forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene, og deretter ser du Slå av blokkert ekstern DNS-oppløsningsmodus . |
5 | Etter at tilkoblingstesten blir bestått, kun for eksplisitt proxy satt til https, setter du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen trer i kraft etter 15 sekunder. |
6 | Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en HTTP-eksplisitt proxy), les ledeteksten, og klikk deretter på Installer hvis du er klar. Noden starter på nytt i løpet av noen få minutter. |
7 | Når noden har startet på nytt, logger du på igjen om nødvendig, og deretter åpner du Oversikt-siden for å kontrollere tilkoblingskontrollene for å sikre at alle har grønn status. Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det oppstår tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen. |
Registrer den første noden i klyngen
Når du registrerer den første noden, oppretter du en klynge som noden er tilordnet. En klynge inneholder én eller flere noder distribuert for å gi redundans.
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Logg på https://admin.webex.com. |
2 | Fra menyen på venstre side av skjermen velger du Tjenester . |
3 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Konfigurer . Siden Registrer hybrid node for datasikkerhet vises.
|
4 | Velg Ja for å indikere at du har satt opp noden og er klar til å registrere den, og klikk deretter på Neste . |
5 | I det første feltet skriver du inn et navn på klyngen du vil tilordne Hybrid Data Security-noden til. Vi anbefaler at du gir navn til en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: «San Francisco» eller «New York» eller «Dallas» |
6 | I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste . Denne IP-adresse eller FQDN må samsvare med IP-adresse eller vertsnavnet og domenet du brukte i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . Det vises en melding som angir at du kan registrere noden til Webex.
|
7 | Klikk på Gå til Node . |
8 | Klikk på Fortsett i advarselsmelding. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til Webex-organisasjonen din for å få tilgang til noden.
|
9 | Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett . Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
|
10 | Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden. På Hybrid datasikkerhet side, vises den nye klyngen som inneholder noden du registrerte. Noden vil automatisk laste ned den nyeste programvaren fra skyen.
|
Opprett og registrer flere noder
På dette tidspunktet er de virtuelle sikkerhetskopiene-ene du opprettet i Fullfør forutsetningene for hybrid datasikkerhet er standby-verter som bare brukes i tilfelle katastrofegjenoppretting; de er ikke registrert i systemet før da. Hvis du vil ha mer informasjon, se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus . |
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA . |
2 | Konfigurer den første konfigurasjonen på den nye virtuelle maskinen, og gjenta trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . |
3 | Gjenta trinnene i den nye VM-en Last opp og monter HDS-konfigurasjons-ISO . |
4 | Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrering etter behov for den nye noden. |
5 | Registrer noden. Noden din er registrert. Merk at frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.
|
Hva nå?
Oppgaveflyt fra prøveversjon til produksjon
Når du har konfigurert en Hybrid Data Security-klynge, kan du starte en pilot, legge til brukere i den og begynne å bruke den til testing og bekreftelse av distribusjonen som forberedelse til overgang til produksjon.
Før du starter
1 | Hvis det er aktuelt, synkroniserer du Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge |
2 |
Start en prøveversjon. Frem til du gjør denne oppgaven, genererer nodene en alarm som indikerer at tjenesten ennå ikke er aktivert. |
3 | Test hybriddistribusjonen av datasikkerhet Kontroller at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen. |
4 | Overvåke helse for hybrid datasikkerhet Sjekk status, og konfigurer e-postvarsler for alarmer. |
5 | |
6 | Fullfør prøveperioden med én av følgende handlinger: |
Aktiver prøveversjon
Før du starter
Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup
gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.
1 | Logg påhttps://admin.webex.com , og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Start prøveversjonen . Tjenestestatusen endres til prøveversjonsmodus.
|
4 | Klikk på Legg til brukere og angi e-postadresse til én eller flere brukere for å prøve å bruke Hybrid Data Security-nodene for kryptering og indekseringstjenester. (Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory til å administrere prøvegruppen, |
Test hybriddistribusjonen av datasikkerhet
Før du starter
Konfigurer Hybrid Data Security-distribusjonen.
Aktiver prøveversjonen, og legg til flere prøveversjonsbrukere.
Kontroller at du har tilgang til syslog for å bekrefte at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.
1 | Taster for et gitt område angis av oppretteren av området. Logg på Webex-appen som én av pilotbrukerne, og opprett deretter et område og inviter minst én pilotbruker og én ikke-pilotbruker.
| ||
2 | Send meldinger til det nye området. | ||
3 | Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til Hybrid Data Security-distribusjonen. |
Overvåke helse for hybrid datasikkerhet
1 | I Kontrollhub , velger du Tjenester fra menyen på venstre side av skjermen. |
2 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Innstillinger . Siden Innstillinger for hybrid datasikkerhet vises.
|
3 | I delen E-postvarsler skriver du inn én eller flere e-postadresser atskilt med komma, og trykker på Gå inn . |
Legg til eller fjern brukere fra prøveversjonen
Hvis du fjerner en bruker fra prøveversjonen, vil brukerens klient be om å opprette nøkler og nøkler fra KMS-skyen i stedet for KMS-en din. Hvis klienten trenger en nøkkel som er lagret på KMS-en, vil KMS-en i skyen hente den på brukerens vegne.
Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory (i stedet for denne prosedyren) til å administrere prøvegruppen, HdsTrialGroup
; du kan vise gruppemedlemmene i Control Hub, men kan ikke legge til eller fjerne dem.
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Prøvemodus i området Tjenestestatus klikker du på Legg til brukere , eller klikk vise og redigere for å fjerne brukere fra prøveversjonen. |
4 | Skriv inn e-postadresse til én eller flere brukere som skal legges til, eller klikk på X av en bruker-ID for å fjerne brukeren fra prøveversjonen. Klikk deretter på Lagre. |
Gå fra prøveversjon til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Flytt til produksjon . |
4 | Bekreft at du vil flytte alle brukerne til produksjon. |
Avslutt prøveversjonen uten å gå til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I Deaktiver-delen klikker du på Deaktiver . |
4 | Bekreft at du vil deaktivere tjenesten og avslutte prøveversjonen. |
Behandle HDS-distribusjon
Bruk oppgavene som er beskrevet her, til å administrere Hybrid Data Security-distribusjonen.
Angi tidsplan for klyngeoppgradering
Slik angir du oppgraderingsplanen:
1 | Logg på Kontrollhub . |
2 | På Oversikt-siden, under Hybridtjenester, velger du Hybrid datasikkerhet . |
3 | Velg klyngen på siden Hybriddatasikkerhetsressurser. |
4 | I Oversikt-panelet til høyre, under Klyngeinnstillinger, velger du klyngenavnet. |
5 | På Innstillinger-siden, under Oppgradering, velger du tid og tidssone for oppgraderingsplanen. Merk: Under tidssone vises dato og klokkeslett for neste tilgjengelige oppgradering. Du kan om nødvendig utsette oppgraderingen til neste dag ved å klikke på Utsette . |
Endre nodekonfigurasjonen
Endring av x.509-sertifikater på grunn av utløpsdato eller andre årsaker.
Vi støtter ikke endring av CN- domenenavn for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.
Oppdaterer databaseinnstillinger for å endre til en replika av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt vei. Hvis du vil bytte databasemiljø, starter du en ny distribusjon av Hybrid Data Security.
Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.
Av sikkerhetsmessige årsaker bruker Hybriddata-sikkerhet passord som har en levetid på ni måneder på tjenestekontoer. HDS-installasjonsverktøyet genererer disse passordene, og du distribuerer dem til hver av HDS-nodene dine som en del av ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløp, mottar du et «Varsel om utløp av passord» fra Webex-teamet, der du blir bedt om å tilbakestille passordet for maskinkontoen. (E-posten inneholder teksten «Bruk maskinkontoens API til å oppdatere passordet.») Hvis passordene ikke er utløpt ennå, gir verktøyet deg to alternativer:
Myk tilbakestilling – Det gamle og det nye passordet fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.
Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.
Hvis passordene dine utløper uten en tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.
Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du henter opp Docker-beholderen i 1.e . Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO-en inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO-en når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i autorisasjonspolicy.
1 | Kjør HDS-konfigureringsverktøyet via Docker på en lokal maskin. |
2 | Hvis du kun kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den via den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, se Opprett og registrer flere noder . |
3 | For eksisterende HDS-noder som kjører den eldre konfigurasjonsfil, monterer du ISO-filen. Utfør følgende prosedyre på hver node etter tur, og oppdater hver node før du slår av neste node: |
4 | Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen. |
Deaktiver blokkert ekstern DNS-oppløsningsmodus
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modusen blokkert ekstern DNS-oppløsning.
Hvis nodene kan løse offentlige DNS-navn via interne DNS-servere, kan du deaktivere denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.
Før du starter
1 | Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/-oppsett, for eksempel https://192.0.2.0/setup),angi administratorlegitimasjonen du konfigurerte for noden, og klikk deretter på Logg på. |
2 | Gå til Oversikt (standardsiden). Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja. |
3 | Gå til siden Klareringslager og proxy. |
4 | Klikk på Kontroller proxy-tilkobling. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og den vil forbli i denne modusen. Ellers, etter at du har startet noden på nytt og gått tilbake til Oversikt-siden, bør Blokkert ekstern DNS-oppløsning settes til Nei. |
Hva nå?
Fjerne en node
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuell maskin. |
2 | Fjern noden: |
3 | Slett den virtuelle maskinen i vSphere-klienten. (I venstre navigasjonsrute høyreklikk du på den virtuelle maskinen og klikker Slett .) Hvis du ikke sletter den virtuelle maskinen, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke den virtuelle maskinen til å få tilgang til sikkerhetsdataene dine. |
Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus
Den mest kritiske tjenesten Hybrid Data Security-klyngen tilbyr, er opprettelse og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet Hybrid Data Security, rutes nye forespørsler om å opprette nøkkel til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til alle brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.
Siden klyngen utfører den kritiske funksjonen med å oppgi disse nøklene, er det viktig at klyngen fortsetter å kjøre og at forsvarlige sikkerhetskopier opprettholdes. Tap av Hybrid Data Security-databasen eller av ISO-konfigurasjonen som ble brukt for skjemaet, vil føre til TAP av kundeinnhold som ikke kan gjenopprettes. Følgende fremgangsmåter er obligatoriske for å forhindre slikt tap:
Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenter blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til datasenter i ventemodus.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene . | ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor eller fjerner
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
(Valgfritt) Avmonter ISO etter HDS-konfigurasjon
Standard HDS-konfigurasjonen kjører med ISO-en montert. Men noen kunder foretrekker å ikke la ISO-filer være kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-noder har plukket opp den nye konfigurasjonen.
Du bruker fortsatt ISO-filene til å gjøre konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO via installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene dine har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en på nytt med denne prosedyren.
Før du starter
Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.
1 | Avslutt én av HDS-nodene dine. |
2 | I vCenter Server Appliance velger du HDS-noden. |
3 | Velg ISO-fil for datalager . og fjern merket |
4 | Slå på HDS-noden og kontroller at det ikke er noen alarmer på minst 20 minutter. |
5 | Gjenta for hver HDS-node etter tur. |
Vis varsler og feilsøking
En Hybrid Data Security-distribusjon anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller hvis klyngen fungerer så sakte at forespørslene tidsavbrudd. Hvis brukere ikke kan nå Hybrid Data Security-klyngen, opplever de følgende symptomer:
Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)
Meldinger og områdetitler kan ikke dekrypteres for:
Nye brukere lagt til i et område (kan ikke hente nøkler)
Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)
Eksisterende brukere i et område fortsetter å kjøre så lenge klientene deres har en hurtigbuffer for krypteringsnøklene
Det er viktig at du overvåker Hybrid Data Security-klyngen på riktig måte og adresserer alle varsler umiddelbart for å unngå avbrudd i tjenesten.
Varsler
Hvis det er et problem med oppsettet av Hybrid Data Security, viser Control Hub varsler til administrator og sender e-postmeldinger til den konfigurerte e-postadresse. Varslene dekker mange vanlige scenarier.
Varsel | Handling |
---|---|
Feil ved tilgang til lokal database. |
Se etter databasefeil eller problemer med det lokale nettverket. |
tilkoblingsfeil til lokal database. |
Kontroller at databaseserver er tilgjengelig, og at riktig påloggingsinformasjon for tjenestekonto ble brukt i nodekonfigurasjonen. |
Tilgangsfeil for skytjeneste. |
Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling . |
Fornyer registrering av skytjeneste. |
Registrering for skytjenester ble avbrutt. Fornyelse av registrering pågår. |
Registrering av skytjeneste ble avbrutt. |
Registreringen til skytjenester ble avsluttet. Tjenesten avsluttes. |
Tjenesten ikke aktivert ennå. |
Aktiver en prøveversjon, eller fullfør flyttingen av prøveversjonen til produksjon. |
Det konfigurerte domenet samsvarer ikke med serversertifikat. |
Kontroller at serversertifikat samsvarer med det konfigurerte domenet for tjenesteaktivering. Den mest sannsynlige årsaken er at sertifikatet CN nylig ble endret og nå er forskjellig fra CN som ble brukt under det første oppsettet. |
Kunne ikke autentisere for skytjenester. |
Se etter nøyaktighet og mulig utløp av legitimasjon for tjenestekonto . |
Kunne ikke åpne den lokale nøkkellagerfilen. |
Se etter integritet og passordnøyaktighet i den lokale nøkkellagerfilen. |
Det lokale serversertifikat er ugyldig. |
Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans. |
Kan ikke legge inn beregninger. |
Sjekk lokal nettverkstilgang til eksterne skytjenester. |
Katalogen /media/configdrive/hds finnes ikke. |
Kontroller konfigurasjonen for ISO-montering på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å montere ved omstart, og at den er vellykket. |
Feilsøke hybrid datasikkerhet
1 | Se gjennom Control Hub for å se eventuelle varsler, og reparer alle elementer du finner der. |
2 | Se gjennom syslog-serverutdataene for aktivitet fra Hybrid Data Security-distribusjonen. |
3 | Kontakt Cisco-støtte . |
Kjente problemer med hybrid datasikkerhet
Hvis du avslutter Hybrid Data Security-klyngen (ved å slette den i Control Hub eller ved å avslutte alle noder), mister ISO-konfigurasjonsfilen eller mister tilgangen til nøkkellagerdatabasen, kan brukerne av Webex-appen ikke lenger bruke områder under Personene sine liste som ble opprettet med nøkler fra KMS. Dette gjelder både prøveversjon og produksjonsdistribusjoner. Vi har for øyeblikket ingen løsning eller løsning for dette problemet, og vi ber deg innstendig om ikke å avslutte HDS-tjenestene dine når de håndterer aktive brukerkontoer.
En klient som har en eksisterende ECDH-tilkobling til en KMS, opprettholder denne tilkoblingen i en periode (sannsynligvis én time). Når en bruker blir medlem av en prøveversjon av Hybrid Data Security, fortsetter brukerens klient å bruke den eksisterende ECDH-tilkoblingen frem til tidsavbrudd. Alternativt kan brukeren logge av og på igjen Webex-appen for å oppdatere plasseringen appen kontakter for krypteringsnøkler.
Den samme virkemåten oppstår når du flytter en prøveversjon til produksjon for organisasjonen. Alle ikke-prøvebrukere med eksisterende ECDH-tilkoblinger til de tidligere datasikkerhetstjenestene vil fortsette å bruke disse tjenestene til ECDH-tilkoblingen reforhandles (gjennom tidsavbrudd eller ved å logge av og på igjen).
Bruk OpenSSL til å generere en PKCS12-fil
Før du starter
OpenSSL er ett verktøy som kan brukes til å gjøre PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi hverken støtter eller promoterer én måte fremfor en annen.
Hvis du velger å bruke OpenSSL, tilbyr vi denne fremgangsmåten som en retningslinje for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i Krav til X.509-sertifikater . Forstå disse kravene før du fortsetter.
Installer OpenSSL i et støttet miljø. Sehttps://www.openssl.org for programvaren og dokumentasjonen.
Opprett en privat nøkkel.
Start denne prosedyren når du mottar serversertifikat fra sertifiseringsinstans (CA).
1 | Når du mottar serversertifikat fra CA, lagrer du det som |
2 | Vis sertifikatet som tekst, og bekreft detaljene.
|
3 | Bruk et tekstredigeringsprogram til å opprette en sertifikatpakkefil kalt
|
4 | Opprett .p12-filen med det vennlige navnet
|
5 | Kontroller serversertifikat . |
Hva nå?
Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet . Du vil bruke hdsnode.p12
filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-vertene .
Du kan bruke disse filene på nytt til å be om et nytt sertifikat når det opprinnelige sertifikatet utløper. |
Trafikk mellom HDS-nodene og skyen
Utgående trafikk for innsamling av beregninger
Hybriddatasikkerhetsnodene sender bestemte beregninger til Webex-skyen. Disse inkluderer systemmålinger for maks. haug, brukt haug, CPU-belastning og antall tråder. målinger for synkrone og asynkrone tråder; målinger for varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller en forespørselskølengde; målinger på datalageret; og måleverdier for krypteringstilkobling. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).
Innkommende trafikk
Hybriddatasikkerhetsnodene mottar følgende typer innkommende trafikk fra Webex-skyen:
Krypteringsforespørsler fra klienter, som rutes av krypteringstjenesten
Oppgraderinger til nodeprogramvaren
Konfigurer Squid-proxyer for hybrid datasikkerhet
Websocket kan ikke koble til via Squid-proxy
Squid-proxyer som inspiserer HTTPS-trafikk, kan forstyrre etableringen av websocket ( wss:
)-tilkoblinger som Hybrid Data Security krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss:
trafikk for riktig drift av tjenestene.
Squid 4 og 5
Legg til on_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi testet Hybrid Data Security med følgende regler lagt til squid.conf
. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Ny og endret informasjon
Dato | Endringer gjort | ||
---|---|---|---|
20. oktober 2023 |
| ||
7. august 2023 |
| ||
23. mai 2023 |
| ||
6. desember 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop må kjøre et installasjonsprogram før du kan installere HDS-noder. Se Krav til Docker-skrivebord . | ||
24. juni 2021 | Merk at du kan bruke den private nøkkelfilen og CSR-en på nytt for å be om et annet sertifikat. Se Bruk OpenSSL til å generere en PKCS12-fil for detaljer. | ||
30. april 2021 | Endret VM-kravet for lokal harddiskplass til 30 GB. Se Krav til virtuell vert for detaljer. | ||
24. februar 2021 | HDS-installasjonsverktøyet kan nå kjøres bak en proxy. Se Opprett en konfigurasjons-ISO for HDS-vertene for detaljer. | ||
2. februar 2021 | HDS kan nå kjøres uten en montert ISO-fil. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer. | ||
11. januar 2021 | Lagt til informasjon om HDS-oppsettverktøy og proxyer til Opprett en konfigurasjons-ISO for HDS-vertene . | ||
13. oktober 2020 | Oppdatert Last ned installasjonsfiler . | ||
8. oktober 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med kommandoer for FedRAMP-miljøer. | ||
14. august 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med endringer i påloggingsprosessen. | ||
5. august 2020 | Oppdatert Test hybriddistribusjonen av datasikkerhet for endringer i loggmeldinger. Oppdatert Krav til virtuell vert for å fjerne maksimalt antall verter. | ||
16. juni 2020 | Oppdatert Fjerne en node for endringer i Control Hub-grensesnittet. | ||
4. juni 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for endringer i de avanserte innstillingene du måtte angi. | ||
29. mai 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for å vise at du også kan bruke TLS med SQL Server-databaser, brukergrensesnittendringer og andre presiseringer. | ||
5. mai 2020 | Oppdatert Krav til virtuell vert for å vise nye krav til ESXi 6.5. | ||
21. april 2020 | Oppdatert Krav til ekstern tilkobling med nye Americas CI-verter. | ||
1. april 2020 | Oppdatert Krav til ekstern tilkobling med informasjon om regionale CI-verter. | ||
20. februar 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med informasjon om det nye, valgfrie skjermbildet for avanserte innstillinger i HDS-oppsettverktøyet. | ||
4. februar 2020 | Oppdatert Krav til proxy-server . | ||
16. desember 2019 | Klargjorde kravet om at blokkert ekstern DNS-oppløsningsmodus skal fungere i Krav til proxy-server . | ||
19. november 2019 | La til informasjon om blokkert ekstern DNS-oppløsningsmodus i følgende deler: | ||
8. november 2019 | Du kan nå konfigurere nettverksinnstillinger for en node mens du distribuerer OVA i stedet for etterpå. Oppdaterte følgende deler tilsvarende:
| ||
6. september 2019 | Lagt til SQL Server Standard i Krav til databaseserver . | ||
29. august 2019 | Lagt til Konfigurer Squid-proxyer for hybrid datasikkerhet vedlegg med veiledning om konfigurering av Squid-proxyer til å ignorere websocket-trafikk for riktig drift. | ||
20. august 2019 | Lagt til og oppdaterte deler for å dekke proxy-støtte for hybrid datasikkerhetsnodekommunikasjon til Webex-skyen. Hvis du bare vil ha tilgang til proxy-støtteinnholdet for en eksisterende distribusjon, kan du se Proxy-støtte for hybrid datasikkerhet og Webex-videonett hjelpeartikkel. | ||
13. juni 2019 | Oppdatert Oppgaveflyt fra prøveversjon til produksjon med en påminnelse om å synkronisere HdsTrialGroup gruppeobjekt før du starter en prøveversjon hvis organisasjonen bruker katalogsynkronisering. | ||
6. mars 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. mai 2018 | Endret terminologi for å gjenspeile endringen av varemerke for Cisco Spark:
| ||
11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
2. november 2017 |
| ||
18. august 2017 | Først publisert |
Oversikt over hybrid datasikkerhet
Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er ende-til-ende-kryptering av innhold, aktivert av Webex App-klienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografinøklene som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.
Som standard får alle Webex App-kunder ende-til-ende-kryptering med dynamiske nøkler lagret i KMS-skyen, i Ciscos sikkerhetsområde. Hybrid datasikkerhet flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, slik at ingen andre enn deg har nøklene til ditt krypterte innhold.
Arkitektur for sikkerhetsriket
Webex-skyarkitekturen skiller forskjellige typer tjenester i separate områder, eller klareringsdomener, som vist nedenfor.
For å forstå Hybrid Data Security ytterligere, la oss først se på dette rene skysaken, der Cisco leverer alle funksjoner i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan korreleres direkte med personlig informasjon, for eksempel e-postadresse, er logisk og fysisk atskilt fra sikkerhetsområdet i datasenter B. Begge er igjen atskilt fra området der kryptert innhold til slutt lagres , i datasenter C.
I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og som er autentisert med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:
Klienten oppretter en sikker tilkobling med nøkkelbehandlingstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikker tilkobling bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en AES-256-hovednøkkel.
Meldingen krypteres før den forlater klienten. Klienten sender den til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe til med fremtidige søk etter innholdet.
Den krypterte meldingen sendes til samsvarstjenesten for samsvarskontroll.
Den krypterte meldingen lagres i lagringsområdet.
Når du distribuerer Hybrid Data Security, flytter du sikkerhetsområdets funksjoner (KMS, indeksering og samsvar) til det lokale datasenter. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos riker.
Samarbeide med andre organisasjoner
Brukere i organisasjonen din kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen (fordi det ble opprettet av en av brukerne), sender KMS-en nøkkelen til klienten over en ECDH-sikker kanal. Når en annen organisasjon eier nøkkelen for området, ruter KMS-en imidlertid forespørselen ut til Webex-skyen gjennom en egen ECDH-kanal for å hente nøkkelen fra riktig KMS, og returnerer deretter nøkkelen til brukeren på den opprinnelige kanalen.
KMS-tjenesten som kjøres på organisasjon A, validerer tilkoblingene til KMS-er i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet ditt for detaljer om generering av et x.509-sertifikat som skal brukes med Hybrid Data Security-distribusjonen.
Forventninger for distribusjon av hybrid datasikkerhet
En Hybrid Data Security-distribusjon krever betydelig kundeengasjement og en bevissthet om risikoene som følger med å eie krypteringsnøkler.
Hvis du vil distribuere Hybrid Data Security, må du oppgi:
Et sikkert datasenter i et land som er et støttet plassering for Cisco Webex Teams planene .
Utstyret, programvaren og nettverkstilgangen som er beskrevet i Forbered miljøet ditt .
Fullstendig tap av enten konfigurasjons-ISO-en du bygger for Hybrid Data Security eller databasen du oppgir, vil føre til tap av nøklene. Tap av nøkkel forhindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:
Behandle sikkerhetskopieringen og gjenopprettingen av databasen og konfigurasjonen av ISO.
Vær forberedt på å utføre rask gjenoppretting ved katastrofegjenoppretting hvis det oppstår en katastrofe, for eksempel en databasediskfeil eller en datasenter .
Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon. |
Konfigurasjonsprosess på høyt nivå
Dette dokumentet dekker oppsett og administrasjon av en Hybrid Data Security-distribusjon:
Konfigurer Hybrid Data Security – Dette inkluderer klargjøring av nødvendig infrastruktur og installasjon av Hybrid Data Security-programvare, testing av distribusjonen med et undersett av brukere i prøveversjonsmodus, og, når testingen er fullført, overgang til produksjon. Dette konverterer hele organisasjonen til å bruke Hybrid Data Security-klyngen for sikkerhetsfunksjoner.
Oppsett-, prøve- og produksjonsfasene dekkes i detalj i de neste tre kapitlene.
Vedlikeholde Hybrid Data Security-distribusjonen – Webex-skyen gir automatisk løpende oppgraderinger. IT-avdelingen din kan tilby nivå 1-støtte for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke skjermvarsler og konfigurere e-postbaserte varsler i Control Hub.
Forstå vanlige varsler, feilsøkingstrinn og kjente problemer –Hvis du får problemer med å distribuere eller bruke Hybrid Data Security, kan det siste kapitlet i denne veiledningen og tillegget Kjente problemer hjelpe deg med å finne ut og løse problemet.
Hybrid distribusjonsmodell for datasikkerhet
I foretningsdata distribuerer du Hybrid Data Security som én enkelt klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen gjennom sikre websockets og sikker HTTP.
Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere den virtuelle enheten på de virtuelle maskinene du oppgir. Du bruker installasjonsverktøyet for HDS til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Hybrid Data Security-klyngen bruker den medfølgende Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)
Det minste antallet noder du kan ha i en klynge, er to. Vi anbefaler minst tre, og du kan ha opptil fem. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)
Alle nodene i en klynge har tilgang til det samme nøkkeldatalageret og loggaktiviteten til den samme syslog-serveren. Nodene i seg selv er statsløse og håndterer nøkkelforespørsler på en roundrobin-måte, som anvist av skyen.
Nodene blir aktive når du registrerer dem i Control Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.
Vi støtter bare én klynge per organisasjon.
Prøveversjonsmodus for hybrid datasikkerhet
Etter at du har satt opp en Hybrid Data Security-distribusjon, kan du først prøve den med et sett med pilotbrukere. I løpet av prøveperioden bruker disse brukerne det lokale Hybrid Data Security-domenet ditt for krypteringsnøkler og andre sikkerhetstjenester. De andre brukerne dine fortsetter å bruke sikkerhetsområdet for skyen.
Hvis du bestemmer deg for ikke å fortsette med distribusjonen i løpet av prøveperioden og deaktivere tjenesten, mister pilotbrukerne og alle brukere de har samhandlet med ved å opprette nye områder i løpet av prøveperioden tilgangen til meldingene og innholdet. De vil se «Denne meldingen kan ikke dekrypteres» i Webex-appen.
Hvis du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, og du er klar til å utvide Hybrid Data Security til alle brukerne, flytter du distribusjonen til produksjon. Pilotbrukere fortsetter å ha tilgang til nøklene som var i bruk under prøveversjonen. Du kan imidlertid ikke gå frem og tilbake mellom produksjonsmodus og den opprinnelige prøveversjonen. Hvis du må deaktivere tjenesten, for eksempel for å utføre katastrofegjenoppretting, må du starte en ny prøveversjon og konfigurere settet med pilotbrukere for den nye prøveversjonen før du går tilbake til produksjonsmodus når du aktiverer den. Hvorvidt brukere beholder tilgangen til data på dette tidspunktet, avhenger av om du har vedlikeholdt sikkerhetskopier av datalager og ISO konfigurasjonsfil for Hybrid Data Security-nodene i klyngen.
Datasenter i ventemodus for katastrofegjenoppretting
Under distribusjonen konfigurerer du et sikkert datasenter i ventemodus . I tilfelle en datasenter , kan du feile distribusjonen manuelt over til datasenter i ventemodus .
Databasene til det aktive datasenteret og datasenteret i ventemodus er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover. ISO-filen til datasenter for ventemodus oppdateres med flere konfigurasjoner som sikrer at nodene registreres i organisasjonen, men ikke håndterer trafikk. Derfor forblir nodene i standby datasenter alltid oppdatert med den nyeste versjonen av HDS-programvaren.
De aktive hybriddatasikkerhetsnodene må alltid være i samme datasenter som den aktive databaseserver. |
Konfigurere datasenter i ventemodus for katastrofegjenoppretting
Følg trinnene nedenfor for å konfigurere ISO-filen for datasenter i ventemodus:
Før du starter
datasenter i ventemodus skal speile produksjonsmiljøet til virtuelle maskiner og en sikkerhetskopi av PostgreSQL- eller Microsoft SQL Server-database. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. (Se Datasenter i ventemodus for katastrofegjenoppretting for en oversikt over denne failover-modellen.)
Kontroller at databasesynkronisering er aktivert mellom databasen med aktive og passive klyngenoder.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .
| ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor for å plassere noden i passiv modus. I denne modusen vil noden være registrert i organisasjonen og koblet til skyen, men vil ikke håndtere trafikk.
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
Etter konfigurering passiveMode
i ISO-filen og lagrer den, kan du opprette en annen kopi av ISO-filen uten passiveMode
konfigurasjonen og lagre den på et sikkert sted. Denne kopien av ISO-filen uten passiveMode
konfigurert kan hjelpe i en rask failover-prosess under katastrofegjenoppretting. Se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus for den detaljerte failover-prosedyren.
Proxy-støtte
Hybriddatasikkerhet støtter eksplisitte, gjennomsiktige proxyer for inspeksjon og ikke-inspeksjon. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et grensesnitt for plattformadministrasjon på nodene for sertifikatadministrasjon og kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.
Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:
Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Klareringslager og proxy-konfigurasjon til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig ikke-inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse, og bør ikke trenge endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig tunnelering eller inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjon er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de klarerer proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer om hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og hvilken godkjenningsplan som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon for hver node:
Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.
Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.
Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:
HTTP – Viser og kontrollerer alle forespørsler som klienten sender.
HTTPS – Gir en kanal til serveren. Klienten mottar og godkjenner serverens sertifikat.
Godkjenningstype – Velg blant følgende godkjenningstyper:
Ingen – Ingen ytterligere godkjenning er nødvendig.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Grunnleggende – Brukes for en HTTP-brukeragent til å angi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.
Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Eksempel på noder og proxy for hybriddatasikkerhet
Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og HTTPS eksplisitt inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.
Blokkert ekstern DNS-oppløsningsmodus (eksplisitt proxy-konfigurasjoner)
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsningsmodus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.
Krav for hybrid datasikkerhet
Lisenskrav for Cisco Webex
Slik distribuerer du hybrid datasikkerhet:
Du må ha Pro Pack for Cisco Webex Control Hub. (Sehttps://www.cisco.com/go/pro-pack .)
Krav til Docker-skrivebord
Før du installerer HDS-nodene, må du ha Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig lisensieringsmodellen. Organisasjonen din kan kreve et betalt abonnement for Docker Desktop. Hvis du vil ha mer informasjon, se Docker-blogginnlegget, « Docker oppdaterer og utvider produktabonnementene våre «.
Krav til X.509-sertifikater
sertifikatkjede må oppfylle følgende krav:
Krav | Detaljer |
---|---|
| Som standard klarerer vi sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) påhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN-en trenger ikke å være tilgjengelig eller være en direktevert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel CN kan ikke inneholde en * (jokertegn). CN brukes til å bekrefte hybriddatasikkerhetsnodene til Webex App-klienter. Alle hybriddatasikkerhetsnodene i klyngen bruker det samme sertifikatet. KMS-en din identifiserer seg ved hjelp av CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene. Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN- domenenavn. Velg et domene som kan gjelde for både prøveversjonen og produksjonsdistribusjonene. |
| KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjoners KMS-er. |
| Du kan bruke et konverteringsprogram som OpenSSL til å endre sertifikatets format. Du må angi passordet når du kjører HDS-installasjonsverktøyet. |
KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifiseringsinstanser krever at utvidede begrensninger for nøkkelbruk brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.
Krav til virtuell vert
De virtuelle vertene som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen, har følgende krav:
Minst to separate verter (tre anbefales) plassert i det samme sikre datasenter
VMware ESXi 6.5 (eller nyere) er installert og kjører.
Du må oppgradere hvis du har en tidligere versjon av ESXi.
Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokal harddiskplass per server
Krav til databaseserver
Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene, når de er installert, oppretter databaseskjemaet. |
Det finnes to alternativer for databaseserver. Kravene for hver av dem er som følger:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) | Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) |
HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserver:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC-driver 42.2.5 | SQL Server JDBC-driver 4.6 Denne driverversjonen støtter SQL Server Always On ( Alltid på failover-klyngeforekomster og Alltid på tilgjengelighetsgrupper ). |
Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server
Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:
HDS-nodene, Active Directory -infrastrukturen og MS SQL Server må alle være synkronisert med NTP.
Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.
DNS-serverne du oppgir til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).
Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et Service Principal Name (SPN) i Active Directory. Se Registrer et hovednavn for tjeneste for Kerberos Connections .
HDS-oppsettverktøyet, HDS-startprogrammet og lokal KMS må alle bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN når de ber om tilgang med Kerberos-autentisering.
Krav til ekstern tilkobling
Konfigurer brannmuren til å tillate følgende tilkoblingsmuligheter for HDS-programmene:
Applikasjon | Protokoll | Port | Veibeskrivelse fra app | Destinasjon |
---|---|---|---|---|
Hybride datasikkerhetsnoder | TCP | 443 | Utgående HTTPS og WSS |
|
HDS-oppsettverktøy | TCP | 443 | Utgående HTTPS |
|
Hybrid Data Security-nodene fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmur tillater de nødvendige utgående tilkoblingene til domenemålene i den foregående tabellen. For tilkoblinger som går inn til Hybrid Data Security-nodene, skal ingen porter være synlige fra Internett. I datasenter ditt trenger klienter tilgang til hybriddatasikkerhetsnodene på TCP-portene 443 og 22 til administrative formål. |
URL-adressene for CI-vertene (Common Identity) er regionsspesifikke. Dette er de nåværende CI-vertene:
Region | Felles URL-adresser for vertsidentitet |
---|---|
Nord- og Sør-Amerika |
|
Den europeiske union |
|
Canada |
|
Krav til proxy-server
Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene dine for hybriddatasikkerhet.
Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).
Eksplisitt proxy – Squid.
Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av WebSocket (wss:) tilkoblinger. Hvis du vil omgå dette problemet, kan du se Konfigurer Squid-proxyer for hybrid datasikkerhet .
Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:
Ingen godkjenning med HTTP eller HTTPS
Enkel godkjenning med HTTP eller HTTPS
Sammendragsgodkjenning kun med HTTPS
Hvis du vil ha en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne håndboken beskriver hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnoder.
Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.
Proxyer som inspiserer nettrafikk, kan forstyrre WebSocket-tilkoblinger. Hvis dette problemet oppstår, kan du omgå (ikke inspisere) trafikk til
wbx2.com
ogciscospark.com
vil løse problemet.
Fullfør forutsetningene for hybrid datasikkerhet
1 | Kontroller at Webex-organisasjonen din er aktivert for Pro Pack for Cisco Webex Control Hub, og få legitimasjonen til en konto med fulle administrator . Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen. | ||
2 | Velg et domenenavn for HDS-distribusjonen (for eksempel | ||
3 | Klargjør identiske virtuelle verter som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen. Du trenger minst to separate verter (tre anbefales) plassert i det samme sikre datasenter, som oppfyller kravene i Krav til virtuell vert . | ||
4 | Klargjør databaseserver som skal fungere som datalager for klyngen, i henhold til Krav til databaseserver . databaseserver må være lokalisert i det sikre datasenter med de virtuelle vertene. | ||
5 | Hvis du vil ha rask gjenoppretting ved katastrofegjenoppretting, konfigurerer du et sikkerhetskopimiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet for virtuelle datamaskiner og en databaseserver. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. | ||
6 | Konfigurer en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadresse og syslog-porten (standard er UDP 514). | ||
7 | Opprett en sikker sikkerhetskopieringspolicy for Hybrid Data Security-nodene, databaseserver og syslog-verten. For å forhindre tap av ugjenopprettelig data må du som et minimum sikkerhetskopiere databasen og ISO-konfigurasjonsfilen som er generert for Hybrid Data Security-nodene.
Webex App-klienter hurtigbufrer nøklene sine, så et driftsbrudd vil kanskje ikke merkes umiddelbart, men vil bli tydelig over tid. Selv om midlertidige strømbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopier tilgjengelig) av enten databasen eller ISO-konfigurasjonsfilen vil imidlertid føre til kundedata som ikke kan gjenopprettes. Operatørene av Hybrid Data Security-nodene forventes å opprettholde hyppige sikkerhetskopier av databasen og ISO-konfigurasjonsfilen, og være forberedt på å gjenoppbygge Hybrid Data Security datasenter hvis det oppstår en katastrofal feil. | ||
8 | Kontroller at brannmurkonfigurasjonen tillater tilkobling for Hybrid Data Security-nodene som angitt i Krav til ekstern tilkobling . | ||
9 | Installer Docker (https://www.docker.com ) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til den på http://127.0.0.1:8080. Du bruker Docker-forekomsten til å laste ned og kjøre installasjonsverktøyet for HDS, som bygger den lokale konfigurasjonsinformasjon for alle Hybrid Data Security-nodene. Organisasjonen din kan trenge en Docker Desktop-lisens. Se Krav til Docker-skrivebord hvis du vil ha mer informasjon. Hvis du vil installere og kjøre HDS-installasjonsverktøyet, må den lokale maskinen ha tilkoblingsmulighetene som er angitt i Krav til ekstern tilkobling . | ||
10 | Hvis du integrerer en proxy med Hybrid Data Security, må du kontrollere at den oppfyller Krav til proxy-server . | ||
11 | Hvis organisasjonen din bruker katalogsynkronisering, oppretter du en gruppe i Active Directory som heter
|
Oppgaveflyt for distribusjon av hybrid datasikkerhet
Før du starter
1 |
Last ned OVA-filen til din lokale maskin for senere bruk. | ||
2 | Opprett en konfigurasjons-ISO for HDS-vertene Bruk HDS-oppsettverktøyet til å opprette en ISO konfigurasjonsfil for hybriddatasikkerhetsnodene. | ||
3 |
Opprett en virtuell maskin fra OVA-filen og utfør den første konfigurasjonen, for eksempel nettverksinnstillinger.
| ||
4 | Konfigurer den virtuelle hybriddatasikkerhetsmaskinen Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon. | ||
5 | Last opp og monter HDS-konfigurasjons-ISO Konfigurer den virtuelle maskinen fra ISO konfigurasjonsfil du opprettet med HDS-installasjonsverktøyet. | ||
6 | Konfigurere HDS-noden for proxy-integrasjon Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du proxy-typen du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig. | ||
7 | Registrer den første noden i klyngen Registrer den virtuelle maskinen med Cisco Webex skyen som en hybrid datasikkerhetsnode. | ||
8 | Opprett og registrer flere noder Fullfør klyngeoppsettet. | ||
9 | Kjør en prøveversjon og gå til produksjon (neste kapittel) Frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert. |
Last ned installasjonsfiler
1 | Logg påhttps://admin.webex.com , og klikk deretter Tjenester . | ||||
2 | Finn Hybrid Data Security-kortet under Hybridtjenester, og klikk deretter på Konfigurer . Hvis kortet er deaktivert eller du ikke ser det, kontakter du kontoteamet ditt eller partnerorganisasjonen din. Gi dem kontonummeret ditt, og be om å aktivere organisasjonen din for Hybrid Data Security. Hvis du vil finne kontonummeret, klikker du på tannhjulet øverst til høyre, ved siden av organisasjonsnavnet.
| ||||
3 | Velg Nei for å indikere at du ikke har satt opp noden ennå, og klikk deretter på Neste . Nedlastingen av OVA-filen begynner automatisk. Lagre filen et sted på maskinen.
| ||||
4 | Du kan også klikke på Åpne Distribusjonsveiledning for å sjekke om det finnes en nyere versjon av denne veiledningen. |
Opprett en konfigurasjons-ISO for HDS-vertene
Konfigurasjonsprosessen for Hybrid Data Security oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere Hybrid Data Security-verten.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariabler når du henter frem Docker-beholderen i trinn 5 . Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen når du gjør konfigurasjonsendringer, for eksempel disse:
Databaselegitimasjon
Sertifikatoppdateringer
Endringer i retningslinjene for autorisasjon
Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du PostgreSQL- eller SQL Server-distribusjonen for TLS.
1 | På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende:
| ||||||||||||
3 | Når du blir bedt om passord, skriver du inn denne hashen:
| ||||||||||||
4 | Last ned det nyeste stabile bildet for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:
Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080». | ||||||||||||
6 |
Bruk en nettleser til å gå til den lokale verten, Verktøyet bruker denne første oppføringen i brukernavnet til å angi riktig miljø for den kontoen. Verktøyet viser deretter standard påloggingsmelding. | ||||||||||||
7 | Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Control Hub-kundeadministratoren, og klikker deretter på Logg inn for å gi tilgang til de nødvendige tjenestene for Hybrid Data Security. | ||||||||||||
8 | På oversiktssiden for installasjonsverktøy klikker du på Kom i gang . | ||||||||||||
9 | På ISO-import side, har du disse alternativene:
| ||||||||||||
10 | Kontroller at X.509-sertifikatet oppfyller kravene i Krav til X.509-sertifikater .
| ||||||||||||
11 | Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret: | ||||||||||||
12 | Velg en Tilkoblingsmodus for TLS-database :
Når du laster opp rotsertifikat (om nødvendig), og klikker Fortsett tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserver. Verktøyet bekrefter også sertifikatunderskriveren og vertsnavnet, hvis det er aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan det hende at HDS-nodene kan opprette TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.) | ||||||||||||
13 | Konfigurer Syslogd-serveren på siden Systemlogger: | ||||||||||||
14 | (Valgfritt) Du kan endre standardverdi for noen databasetilkoblingsparametere i Avanserte innstillinger . Vanligvis er denne parameteren den eneste du kanskje vil endre:
| ||||||||||||
15 | Klikk på Fortsett på Tilbakestill passordet for tjenestekontoer skjermen. Passord for tjenestekontoer har en levetid på ni måneder. Bruk denne skjermen når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem for å ugyldiggjøre tidligere ISO-filer. | ||||||||||||
16 | Klikk på Last ned ISO-fil . Lagre filen på et sted som er lett å finne. | ||||||||||||
17 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||||||||||||
18 | Hvis du vil avslutte konfigureringsverktøyet, skriver du inn |
Hva nå?
Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.
Vi har aldri en kopi av denne nøkkelen, og kan ikke hjelpe hvis du mister den. |
Installer HDS Host OVA
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten. | ||||||
2 | Velg Fil > Distribuer OVF-mal . | ||||||
3 | Angi plasseringen av OVA-filen du lastet ned tidligere i veiviseren, og klikk deretter på Neste . | ||||||
4 | På Velg et navn og en mappe side, skriver du inn en Navn på virtuell maskin for noden (for eksempel «HDS_ Node_ 1"), velg et sted der nodedistribusjonen for den virtuell maskin kan ligge, og klikk deretter Neste . | ||||||
5 | På Velg en databehandlingsressurs -siden, velg måldataressursen, og klikk deretter Neste . Det kjøres en valideringskontroll. Når den er fullført, vises maldetaljene. | ||||||
6 | Kontroller maldetaljene, og klikk deretter på Neste . | ||||||
7 | Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon side, klikk 4 CPUer og klikk deretter Neste . | ||||||
8 | På Velg lagring side, klikk Neste for å godta standard diskformat og retningslinjer for VM-lagring. | ||||||
9 | På Velg nettverk -siden, velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til den virtuelle maskinen. | ||||||
10 | På Tilpass mal side, konfigurerer du følgende nettverksinnstillinger:
Hvis du foretrekker det, kan du hoppe over konfigurasjonen av nettverksinnstillinger og følge trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen for å konfigurere innstillingene fra nodekonsollen.
| ||||||
11 | Høyreklikk på den virtuelle noden, og velg deretter .Hybrid Data Security-programvaren installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden. Feilsøkingstips Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen ved første oppstart, der du ikke kan logge på. |
Konfigurer den virtuelle hybriddatasikkerhetsmaskinen
Bruk denne fremgangsmåten til å logge på VM-konsollen for Hybrid Data Security-noden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.
1 | I VMware vSphere-klienten velger du den virtuelle hybriddatasikkerhetsnoden og velger Konsoll -fanen. Den virtuelle maskinen starter opp, og det vises en påloggingsmelding. Hvis påloggingsmeldingen ikke vises, trykker du på Gå inn .
|
2 | Bruk følgende standard påloggingsinformasjon og passord for å logge på og endre legitimasjonen: Siden du logger på den virtuelle maskinen for første gang, må du endre administrator . |
3 | Hvis du allerede har konfigurert nettverksinnstillinger i Installer HDS Host OVA , hopper du over resten av denne prosedyren. Ellers velger du på hovedmeny Rediger konfigurasjon alternativet. |
4 | Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke. |
5 | (Valgfritt) Endre vertsnavnet, domenet eller NTP-server(e) om nødvendig for å samsvare med nettverkspolicyen din. Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet. |
6 | Lagre nettverkskonfigurasjon og start den virtuelle maskinen på nytt slik at endringene trer i kraft. |
Last opp og monter HDS-konfigurasjons-ISO
Før du starter
Siden ISO-filen inneholder hovednøkkelen, bør den bare vises på en «trenger å vite»-basis, for tilgang for de virtuelle hybriddatasikkerhets-ene og alle administratorer som måtte trenge å gjøre endringer. Kontroller at bare disse administratorene har tilgang til datalageret.
1 | Last opp ISO-filen fra datamaskinen: |
2 | Monter ISO-filen: |
Hva nå?
Hvis IT-retningslinjene krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene dine har registrert konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.
Konfigurere HDS-noden for proxy-integrasjon
Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybriddatasikkerhet. Hvis du velger en gjennomsiktig inspeksjonsproxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet og feilsøke eventuelle problemer.
Før du starter
Se Proxy-støtte hvis du vil ha en oversikt over proxy-alternativene som støttes.
1 | Angi URL-adressen til oppsett av HDS-node |
2 | Gå til Klareringslager og proxy, og velg deretter et alternativ:
Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en HTTP-eksplisitt proxy med enkel godkjenning eller en eksplisitt HTTPS-proxy. |
3 | Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen. Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på vinkeltegnpilen ved navnet på sertifikatutstederen for å få flere detaljer, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt. |
4 | Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen. Hvis tilkoblingstesten mislykkes, ser du en feilmelding som viser årsaken og hvordan du kan løse problemet. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne betingelsen forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene, og deretter ser du Slå av blokkert ekstern DNS-oppløsningsmodus . |
5 | Etter at tilkoblingstesten blir bestått, kun for eksplisitt proxy satt til https, setter du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen trer i kraft etter 15 sekunder. |
6 | Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en HTTP-eksplisitt proxy), les ledeteksten, og klikk deretter på Installer hvis du er klar. Noden starter på nytt i løpet av noen få minutter. |
7 | Når noden har startet på nytt, logger du på igjen om nødvendig, og deretter åpner du Oversikt-siden for å kontrollere tilkoblingskontrollene for å sikre at alle har grønn status. Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det oppstår tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen. |
Registrer den første noden i klyngen
Når du registrerer den første noden, oppretter du en klynge som noden er tilordnet. En klynge inneholder én eller flere noder distribuert for å gi redundans.
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Logg på https://admin.webex.com. |
2 | Fra menyen på venstre side av skjermen velger du Tjenester . |
3 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Konfigurer . Siden Registrer hybrid node for datasikkerhet vises.
|
4 | Velg Ja for å indikere at du har satt opp noden og er klar til å registrere den, og klikk deretter på Neste . |
5 | I det første feltet skriver du inn et navn på klyngen du vil tilordne Hybrid Data Security-noden til. Vi anbefaler at du gir navn til en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: «San Francisco» eller «New York» eller «Dallas» |
6 | I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste . Denne IP-adresse eller FQDN må samsvare med IP-adresse eller vertsnavnet og domenet du brukte i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . Det vises en melding som angir at du kan registrere noden til Webex.
|
7 | Klikk på Gå til Node . |
8 | Klikk på Fortsett i advarselsmelding. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til Webex-organisasjonen din for å få tilgang til noden.
|
9 | Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett . Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
|
10 | Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden. På Hybrid datasikkerhet side, vises den nye klyngen som inneholder noden du registrerte. Noden vil automatisk laste ned den nyeste programvaren fra skyen.
|
Opprett og registrer flere noder
På dette tidspunktet er de virtuelle sikkerhetskopiene-ene du opprettet i Fullfør forutsetningene for hybrid datasikkerhet er standby-verter som bare brukes i tilfelle katastrofegjenoppretting; de er ikke registrert i systemet før da. Hvis du vil ha mer informasjon, se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus . |
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA . |
2 | Konfigurer den første konfigurasjonen på den nye virtuelle maskinen, og gjenta trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . |
3 | Gjenta trinnene i den nye VM-en Last opp og monter HDS-konfigurasjons-ISO . |
4 | Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrering etter behov for den nye noden. |
5 | Registrer noden. Noden din er registrert. Merk at frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.
|
Hva nå?
Oppgaveflyt fra prøveversjon til produksjon
Når du har konfigurert en Hybrid Data Security-klynge, kan du starte en pilot, legge til brukere i den og begynne å bruke den til testing og bekreftelse av distribusjonen som forberedelse til overgang til produksjon.
Før du starter
1 | Hvis det er aktuelt, synkroniserer du Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge |
2 |
Start en prøveversjon. Frem til du gjør denne oppgaven, genererer nodene en alarm som indikerer at tjenesten ennå ikke er aktivert. |
3 | Test hybriddistribusjonen av datasikkerhet Kontroller at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen. |
4 | Overvåke helse for hybrid datasikkerhet Sjekk status, og konfigurer e-postvarsler for alarmer. |
5 | |
6 | Fullfør prøveperioden med én av følgende handlinger: |
Aktiver prøveversjon
Før du starter
Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup
gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.
1 | Logg påhttps://admin.webex.com , og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Start prøveversjonen . Tjenestestatusen endres til prøveversjonsmodus.
|
4 | Klikk på Legg til brukere og angi e-postadresse til én eller flere brukere for å prøve å bruke Hybrid Data Security-nodene for kryptering og indekseringstjenester. (Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory til å administrere prøvegruppen, |
Test hybriddistribusjonen av datasikkerhet
Før du starter
Konfigurer Hybrid Data Security-distribusjonen.
Aktiver prøveversjonen, og legg til flere prøveversjonsbrukere.
Kontroller at du har tilgang til syslog for å bekrefte at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.
1 | Taster for et gitt område angis av oppretteren av området. Logg på Webex-appen som én av pilotbrukerne, og opprett deretter et område og inviter minst én pilotbruker og én ikke-pilotbruker.
| ||
2 | Send meldinger til det nye området. | ||
3 | Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til Hybrid Data Security-distribusjonen. |
Overvåke helse for hybrid datasikkerhet
1 | I Kontrollhub , velger du Tjenester fra menyen på venstre side av skjermen. |
2 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Innstillinger . Siden Innstillinger for hybrid datasikkerhet vises.
|
3 | I delen E-postvarsler skriver du inn én eller flere e-postadresser atskilt med komma, og trykker på Gå inn . |
Legg til eller fjern brukere fra prøveversjonen
Hvis du fjerner en bruker fra prøveversjonen, vil brukerens klient be om å opprette nøkler og nøkler fra KMS-skyen i stedet for KMS-en din. Hvis klienten trenger en nøkkel som er lagret på KMS-en, vil KMS-en i skyen hente den på brukerens vegne.
Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory (i stedet for denne prosedyren) til å administrere prøvegruppen, HdsTrialGroup
; du kan vise gruppemedlemmene i Control Hub, men kan ikke legge til eller fjerne dem.
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Prøvemodus i området Tjenestestatus klikker du på Legg til brukere , eller klikk vise og redigere for å fjerne brukere fra prøveversjonen. |
4 | Skriv inn e-postadresse til én eller flere brukere som skal legges til, eller klikk på X av en bruker-ID for å fjerne brukeren fra prøveversjonen. Klikk deretter på Lagre. |
Gå fra prøveversjon til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Flytt til produksjon . |
4 | Bekreft at du vil flytte alle brukerne til produksjon. |
Avslutt prøveversjonen uten å gå til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I Deaktiver-delen klikker du på Deaktiver . |
4 | Bekreft at du vil deaktivere tjenesten og avslutte prøveversjonen. |
Behandle HDS-distribusjon
Bruk oppgavene som er beskrevet her, til å administrere Hybrid Data Security-distribusjonen.
Angi tidsplan for klyngeoppgradering
Slik angir du oppgraderingsplanen:
1 | Logg på Kontrollhub . |
2 | På Oversikt-siden, under Hybridtjenester, velger du Hybrid datasikkerhet . |
3 | Velg klyngen på siden Hybriddatasikkerhetsressurser. |
4 | I Oversikt-panelet til høyre, under Klyngeinnstillinger, velger du klyngenavnet. |
5 | På Innstillinger-siden, under Oppgradering, velger du tid og tidssone for oppgraderingsplanen. Merk: Under tidssone vises dato og klokkeslett for neste tilgjengelige oppgradering. Du kan om nødvendig utsette oppgraderingen til neste dag ved å klikke på Utsette . |
Endre nodekonfigurasjonen
Endring av x.509-sertifikater på grunn av utløpsdato eller andre årsaker.
Vi støtter ikke endring av CN- domenenavn for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.
Oppdaterer databaseinnstillinger for å endre til en replika av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt vei. Hvis du vil bytte databasemiljø, starter du en ny distribusjon av Hybrid Data Security.
Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.
Av sikkerhetsmessige årsaker bruker Hybriddata-sikkerhet passord som har en levetid på ni måneder på tjenestekontoer. HDS-installasjonsverktøyet genererer disse passordene, og du distribuerer dem til hver av HDS-nodene dine som en del av ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløp, mottar du et «Varsel om utløp av passord» fra Webex-teamet, der du blir bedt om å tilbakestille passordet for maskinkontoen. (E-posten inneholder teksten «Bruk maskinkontoens API til å oppdatere passordet.») Hvis passordene ikke er utløpt ennå, gir verktøyet deg to alternativer:
Myk tilbakestilling – Det gamle og det nye passordet fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.
Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.
Hvis passordene dine utløper uten en tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.
Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du henter opp Docker-beholderen i 1.e . Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO-en inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO-en når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i autorisasjonspolicy.
1 | Kjør HDS-konfigureringsverktøyet via Docker på en lokal maskin. |
2 | Hvis du kun kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den via den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, se Opprett og registrer flere noder . |
3 | For eksisterende HDS-noder som kjører den eldre konfigurasjonsfil, monterer du ISO-filen. Utfør følgende prosedyre på hver node etter tur, og oppdater hver node før du slår av neste node: |
4 | Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen. |
Deaktiver blokkert ekstern DNS-oppløsningsmodus
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modusen blokkert ekstern DNS-oppløsning.
Hvis nodene kan løse offentlige DNS-navn via interne DNS-servere, kan du deaktivere denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.
Før du starter
1 | Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/-oppsett, for eksempel https://192.0.2.0/setup),angi administratorlegitimasjonen du konfigurerte for noden, og klikk deretter på Logg på. |
2 | Gå til Oversikt (standardsiden). Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja. |
3 | Gå til siden Klareringslager og proxy. |
4 | Klikk på Kontroller proxy-tilkobling. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og den vil forbli i denne modusen. Ellers, etter at du har startet noden på nytt og gått tilbake til Oversikt-siden, bør Blokkert ekstern DNS-oppløsning settes til Nei. |
Hva nå?
Fjerne en node
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuell maskin. |
2 | Fjern noden: |
3 | Slett den virtuelle maskinen i vSphere-klienten. (I venstre navigasjonsrute høyreklikk du på den virtuelle maskinen og klikker Slett .) Hvis du ikke sletter den virtuelle maskinen, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke den virtuelle maskinen til å få tilgang til sikkerhetsdataene dine. |
Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus
Den mest kritiske tjenesten Hybrid Data Security-klyngen tilbyr, er opprettelse og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet Hybrid Data Security, rutes nye forespørsler om å opprette nøkkel til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til alle brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.
Siden klyngen utfører den kritiske funksjonen med å oppgi disse nøklene, er det viktig at klyngen fortsetter å kjøre og at forsvarlige sikkerhetskopier opprettholdes. Tap av Hybrid Data Security-databasen eller av ISO-konfigurasjonen som ble brukt for skjemaet, vil føre til TAP av kundeinnhold som ikke kan gjenopprettes. Følgende fremgangsmåter er obligatoriske for å forhindre slikt tap:
Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenter blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til datasenter i ventemodus.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene . | ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor eller fjerner
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
(Valgfritt) Avmonter ISO etter HDS-konfigurasjon
Standard HDS-konfigurasjonen kjører med ISO-en montert. Men noen kunder foretrekker å ikke la ISO-filer være kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-noder har plukket opp den nye konfigurasjonen.
Du bruker fortsatt ISO-filene til å gjøre konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO via installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene dine har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en på nytt med denne prosedyren.
Før du starter
Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.
1 | Avslutt én av HDS-nodene dine. |
2 | I vCenter Server Appliance velger du HDS-noden. |
3 | Velg ISO-fil for datalager . og fjern merket |
4 | Slå på HDS-noden og kontroller at det ikke er noen alarmer på minst 20 minutter. |
5 | Gjenta for hver HDS-node etter tur. |
Vis varsler og feilsøking
En Hybrid Data Security-distribusjon anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller hvis klyngen fungerer så sakte at forespørslene tidsavbrudd. Hvis brukere ikke kan nå Hybrid Data Security-klyngen, opplever de følgende symptomer:
Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)
Meldinger og områdetitler kan ikke dekrypteres for:
Nye brukere lagt til i et område (kan ikke hente nøkler)
Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)
Eksisterende brukere i et område fortsetter å kjøre så lenge klientene deres har en hurtigbuffer for krypteringsnøklene
Det er viktig at du overvåker Hybrid Data Security-klyngen på riktig måte og adresserer alle varsler umiddelbart for å unngå avbrudd i tjenesten.
Varsler
Hvis det er et problem med oppsettet av Hybrid Data Security, viser Control Hub varsler til administrator og sender e-postmeldinger til den konfigurerte e-postadresse. Varslene dekker mange vanlige scenarier.
Varsel | Handling |
---|---|
Feil ved tilgang til lokal database. |
Se etter databasefeil eller problemer med det lokale nettverket. |
tilkoblingsfeil til lokal database. |
Kontroller at databaseserver er tilgjengelig, og at riktig påloggingsinformasjon for tjenestekonto ble brukt i nodekonfigurasjonen. |
Tilgangsfeil for skytjeneste. |
Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling . |
Fornyer registrering av skytjeneste. |
Registrering for skytjenester ble avbrutt. Fornyelse av registrering pågår. |
Registrering av skytjeneste ble avbrutt. |
Registreringen til skytjenester ble avsluttet. Tjenesten avsluttes. |
Tjenesten ikke aktivert ennå. |
Aktiver en prøveversjon, eller fullfør flyttingen av prøveversjonen til produksjon. |
Det konfigurerte domenet samsvarer ikke med serversertifikat. |
Kontroller at serversertifikat samsvarer med det konfigurerte domenet for tjenesteaktivering. Den mest sannsynlige årsaken er at sertifikatet CN nylig ble endret og nå er forskjellig fra CN som ble brukt under det første oppsettet. |
Kunne ikke autentisere for skytjenester. |
Se etter nøyaktighet og mulig utløp av legitimasjon for tjenestekonto . |
Kunne ikke åpne den lokale nøkkellagerfilen. |
Se etter integritet og passordnøyaktighet i den lokale nøkkellagerfilen. |
Det lokale serversertifikat er ugyldig. |
Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans. |
Kan ikke legge inn beregninger. |
Sjekk lokal nettverkstilgang til eksterne skytjenester. |
Katalogen /media/configdrive/hds finnes ikke. |
Kontroller konfigurasjonen for ISO-montering på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å montere ved omstart, og at den er vellykket. |
Feilsøke hybrid datasikkerhet
1 | Se gjennom Control Hub for å se eventuelle varsler, og reparer alle elementer du finner der. |
2 | Se gjennom syslog-serverutdataene for aktivitet fra Hybrid Data Security-distribusjonen. |
3 | Kontakt Cisco-støtte . |
Kjente problemer med hybrid datasikkerhet
Hvis du avslutter Hybrid Data Security-klyngen (ved å slette den i Control Hub eller ved å avslutte alle noder), mister ISO-konfigurasjonsfilen eller mister tilgangen til nøkkellagerdatabasen, kan brukerne av Webex-appen ikke lenger bruke områder under Personene sine liste som ble opprettet med nøkler fra KMS. Dette gjelder både prøveversjon og produksjonsdistribusjoner. Vi har for øyeblikket ingen løsning eller løsning for dette problemet, og vi ber deg innstendig om ikke å avslutte HDS-tjenestene dine når de håndterer aktive brukerkontoer.
En klient som har en eksisterende ECDH-tilkobling til en KMS, opprettholder denne tilkoblingen i en periode (sannsynligvis én time). Når en bruker blir medlem av en prøveversjon av Hybrid Data Security, fortsetter brukerens klient å bruke den eksisterende ECDH-tilkoblingen frem til tidsavbrudd. Alternativt kan brukeren logge av og på igjen Webex-appen for å oppdatere plasseringen appen kontakter for krypteringsnøkler.
Den samme virkemåten oppstår når du flytter en prøveversjon til produksjon for organisasjonen. Alle ikke-prøvebrukere med eksisterende ECDH-tilkoblinger til de tidligere datasikkerhetstjenestene vil fortsette å bruke disse tjenestene til ECDH-tilkoblingen reforhandles (gjennom tidsavbrudd eller ved å logge av og på igjen).
Bruk OpenSSL til å generere en PKCS12-fil
Før du starter
OpenSSL er ett verktøy som kan brukes til å gjøre PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi hverken støtter eller promoterer én måte fremfor en annen.
Hvis du velger å bruke OpenSSL, tilbyr vi denne fremgangsmåten som en retningslinje for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i Krav til X.509-sertifikater . Forstå disse kravene før du fortsetter.
Installer OpenSSL i et støttet miljø. Sehttps://www.openssl.org for programvaren og dokumentasjonen.
Opprett en privat nøkkel.
Start denne prosedyren når du mottar serversertifikat fra sertifiseringsinstans (CA).
1 | Når du mottar serversertifikat fra CA, lagrer du det som |
2 | Vis sertifikatet som tekst, og bekreft detaljene.
|
3 | Bruk et tekstredigeringsprogram til å opprette en sertifikatpakkefil kalt
|
4 | Opprett .p12-filen med det vennlige navnet
|
5 | Kontroller serversertifikat . |
Hva nå?
Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet . Du vil bruke hdsnode.p12
filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-vertene .
Du kan bruke disse filene på nytt til å be om et nytt sertifikat når det opprinnelige sertifikatet utløper. |
Trafikk mellom HDS-nodene og skyen
Utgående trafikk for innsamling av beregninger
Hybriddatasikkerhetsnodene sender bestemte beregninger til Webex-skyen. Disse inkluderer systemmålinger for maks. haug, brukt haug, CPU-belastning og antall tråder. målinger for synkrone og asynkrone tråder; målinger for varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller en forespørselskølengde; målinger på datalageret; og måleverdier for krypteringstilkobling. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).
Innkommende trafikk
Hybriddatasikkerhetsnodene mottar følgende typer innkommende trafikk fra Webex-skyen:
Krypteringsforespørsler fra klienter, som rutes av krypteringstjenesten
Oppgraderinger til nodeprogramvaren
Konfigurer Squid-proxyer for hybrid datasikkerhet
Websocket kan ikke koble til via Squid-proxy
Squid-proxyer som inspiserer HTTPS-trafikk, kan forstyrre etableringen av websocket ( wss:
)-tilkoblinger som Hybrid Data Security krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss:
trafikk for riktig drift av tjenestene.
Squid 4 og 5
Legg til on_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi testet Hybrid Data Security med følgende regler lagt til squid.conf
. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Ny og endret informasjon
Dato | Endringer gjort | ||
---|---|---|---|
20. oktober 2023 |
| ||
7. august 2023 |
| ||
23. mai 2023 |
| ||
6. desember 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop må kjøre et installasjonsprogram før du kan installere HDS-noder. Se Krav til Docker-skrivebord . | ||
24. juni 2021 | Merk at du kan bruke den private nøkkelfilen og CSR-en på nytt for å be om et annet sertifikat. Se Bruk OpenSSL til å generere en PKCS12-fil for detaljer. | ||
30. april 2021 | Endret VM-kravet for lokal harddiskplass til 30 GB. Se Krav til virtuell vert for detaljer. | ||
24. februar 2021 | HDS-installasjonsverktøyet kan nå kjøres bak en proxy. Se Opprett en konfigurasjons-ISO for HDS-vertene for detaljer. | ||
2. februar 2021 | HDS kan nå kjøres uten en montert ISO-fil. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer. | ||
11. januar 2021 | Lagt til informasjon om HDS-oppsettverktøy og proxyer til Opprett en konfigurasjons-ISO for HDS-vertene . | ||
13. oktober 2020 | Oppdatert Last ned installasjonsfiler . | ||
8. oktober 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med kommandoer for FedRAMP-miljøer. | ||
14. august 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med endringer i påloggingsprosessen. | ||
5. august 2020 | Oppdatert Test hybriddistribusjonen av datasikkerhet for endringer i loggmeldinger. Oppdatert Krav til virtuell vert for å fjerne maksimalt antall verter. | ||
16. juni 2020 | Oppdatert Fjerne en node for endringer i Control Hub-grensesnittet. | ||
4. juni 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for endringer i de avanserte innstillingene du måtte angi. | ||
29. mai 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for å vise at du også kan bruke TLS med SQL Server-databaser, brukergrensesnittendringer og andre presiseringer. | ||
5. mai 2020 | Oppdatert Krav til virtuell vert for å vise nye krav til ESXi 6.5. | ||
21. april 2020 | Oppdatert Krav til ekstern tilkobling med nye Americas CI-verter. | ||
1. april 2020 | Oppdatert Krav til ekstern tilkobling med informasjon om regionale CI-verter. | ||
20. februar 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med informasjon om det nye, valgfrie skjermbildet for avanserte innstillinger i HDS-oppsettverktøyet. | ||
4. februar 2020 | Oppdatert Krav til proxy-server . | ||
16. desember 2019 | Klargjorde kravet om at blokkert ekstern DNS-oppløsningsmodus skal fungere i Krav til proxy-server . | ||
19. november 2019 | La til informasjon om blokkert ekstern DNS-oppløsningsmodus i følgende deler: | ||
8. november 2019 | Du kan nå konfigurere nettverksinnstillinger for en node mens du distribuerer OVA i stedet for etterpå. Oppdaterte følgende deler tilsvarende:
| ||
6. september 2019 | Lagt til SQL Server Standard i Krav til databaseserver . | ||
29. august 2019 | Lagt til Konfigurer Squid-proxyer for hybrid datasikkerhet vedlegg med veiledning om konfigurering av Squid-proxyer til å ignorere websocket-trafikk for riktig drift. | ||
20. august 2019 | Lagt til og oppdaterte deler for å dekke proxy-støtte for hybrid datasikkerhetsnodekommunikasjon til Webex-skyen. Hvis du bare vil ha tilgang til proxy-støtteinnholdet for en eksisterende distribusjon, kan du se Proxy-støtte for hybrid datasikkerhet og Webex-videonett hjelpeartikkel. | ||
13. juni 2019 | Oppdatert Oppgaveflyt fra prøveversjon til produksjon med en påminnelse om å synkronisere HdsTrialGroup gruppeobjekt før du starter en prøveversjon hvis organisasjonen bruker katalogsynkronisering. | ||
6. mars 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. mai 2018 | Endret terminologi for å gjenspeile endringen av varemerke for Cisco Spark:
| ||
11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
2. november 2017 |
| ||
18. august 2017 | Først publisert |
Oversikt over hybrid datasikkerhet
Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er ende-til-ende-kryptering av innhold, aktivert av Webex App-klienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografinøklene som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.
Som standard får alle Webex App-kunder ende-til-ende-kryptering med dynamiske nøkler lagret i KMS-skyen, i Ciscos sikkerhetsområde. Hybrid datasikkerhet flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, slik at ingen andre enn deg har nøklene til ditt krypterte innhold.
Arkitektur for sikkerhetsriket
Webex-skyarkitekturen skiller forskjellige typer tjenester i separate områder, eller klareringsdomener, som vist nedenfor.
For å forstå Hybrid Data Security ytterligere, la oss først se på dette rene skysaken, der Cisco leverer alle funksjoner i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan korreleres direkte med personlig informasjon, for eksempel e-postadresse, er logisk og fysisk atskilt fra sikkerhetsområdet i datasenter B. Begge er igjen atskilt fra området der kryptert innhold til slutt lagres , i datasenter C.
I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og som er autentisert med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:
Klienten oppretter en sikker tilkobling med nøkkelbehandlingstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikker tilkobling bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en AES-256-hovednøkkel.
Meldingen krypteres før den forlater klienten. Klienten sender den til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe til med fremtidige søk etter innholdet.
Den krypterte meldingen sendes til samsvarstjenesten for samsvarskontroll.
Den krypterte meldingen lagres i lagringsområdet.
Når du distribuerer Hybrid Data Security, flytter du sikkerhetsområdets funksjoner (KMS, indeksering og samsvar) til det lokale datasenter. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos riker.
Samarbeide med andre organisasjoner
Brukere i organisasjonen din kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen (fordi det ble opprettet av en av brukerne), sender KMS-en nøkkelen til klienten over en ECDH-sikker kanal. Når en annen organisasjon eier nøkkelen for området, ruter KMS-en imidlertid forespørselen ut til Webex-skyen gjennom en egen ECDH-kanal for å hente nøkkelen fra riktig KMS, og returnerer deretter nøkkelen til brukeren på den opprinnelige kanalen.
KMS-tjenesten som kjøres på organisasjon A, validerer tilkoblingene til KMS-er i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet ditt for detaljer om generering av et x.509-sertifikat som skal brukes med Hybrid Data Security-distribusjonen.
Forventninger for distribusjon av hybrid datasikkerhet
En Hybrid Data Security-distribusjon krever betydelig kundeengasjement og en bevissthet om risikoene som følger med å eie krypteringsnøkler.
Hvis du vil distribuere Hybrid Data Security, må du oppgi:
Et sikkert datasenter i et land som er et støttet plassering for Cisco Webex Teams planene .
Utstyret, programvaren og nettverkstilgangen som er beskrevet i Forbered miljøet ditt .
Fullstendig tap av enten konfigurasjons-ISO-en du bygger for Hybrid Data Security eller databasen du oppgir, vil føre til tap av nøklene. Tap av nøkkel forhindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:
Behandle sikkerhetskopieringen og gjenopprettingen av databasen og konfigurasjonen av ISO.
Vær forberedt på å utføre rask gjenoppretting ved katastrofegjenoppretting hvis det oppstår en katastrofe, for eksempel en databasediskfeil eller en datasenter .
Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon. |
Konfigurasjonsprosess på høyt nivå
Dette dokumentet dekker oppsett og administrasjon av en Hybrid Data Security-distribusjon:
Konfigurer Hybrid Data Security – Dette inkluderer klargjøring av nødvendig infrastruktur og installasjon av Hybrid Data Security-programvare, testing av distribusjonen med et undersett av brukere i prøveversjonsmodus, og, når testingen er fullført, overgang til produksjon. Dette konverterer hele organisasjonen til å bruke Hybrid Data Security-klyngen for sikkerhetsfunksjoner.
Oppsett-, prøve- og produksjonsfasene dekkes i detalj i de neste tre kapitlene.
Vedlikeholde Hybrid Data Security-distribusjonen – Webex-skyen gir automatisk løpende oppgraderinger. IT-avdelingen din kan tilby nivå 1-støtte for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke skjermvarsler og konfigurere e-postbaserte varsler i Control Hub.
Forstå vanlige varsler, feilsøkingstrinn og kjente problemer –Hvis du får problemer med å distribuere eller bruke Hybrid Data Security, kan det siste kapitlet i denne veiledningen og tillegget Kjente problemer hjelpe deg med å finne ut og løse problemet.
Hybrid distribusjonsmodell for datasikkerhet
I foretningsdata distribuerer du Hybrid Data Security som én enkelt klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen gjennom sikre websockets og sikker HTTP.
Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere den virtuelle enheten på de virtuelle maskinene du oppgir. Du bruker installasjonsverktøyet for HDS til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Hybrid Data Security-klyngen bruker den medfølgende Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)
Det minste antallet noder du kan ha i en klynge, er to. Vi anbefaler minst tre, og du kan ha opptil fem. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)
Alle nodene i en klynge har tilgang til det samme nøkkeldatalageret og loggaktiviteten til den samme syslog-serveren. Nodene i seg selv er statsløse og håndterer nøkkelforespørsler på en roundrobin-måte, som anvist av skyen.
Nodene blir aktive når du registrerer dem i Control Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.
Vi støtter bare én klynge per organisasjon.
Prøveversjonsmodus for hybrid datasikkerhet
Etter at du har satt opp en Hybrid Data Security-distribusjon, kan du først prøve den med et sett med pilotbrukere. I løpet av prøveperioden bruker disse brukerne det lokale Hybrid Data Security-domenet ditt for krypteringsnøkler og andre sikkerhetstjenester. De andre brukerne dine fortsetter å bruke sikkerhetsområdet for skyen.
Hvis du bestemmer deg for ikke å fortsette med distribusjonen i løpet av prøveperioden og deaktivere tjenesten, mister pilotbrukerne og alle brukere de har samhandlet med ved å opprette nye områder i løpet av prøveperioden tilgangen til meldingene og innholdet. De vil se «Denne meldingen kan ikke dekrypteres» i Webex-appen.
Hvis du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, og du er klar til å utvide Hybrid Data Security til alle brukerne, flytter du distribusjonen til produksjon. Pilotbrukere fortsetter å ha tilgang til nøklene som var i bruk under prøveversjonen. Du kan imidlertid ikke gå frem og tilbake mellom produksjonsmodus og den opprinnelige prøveversjonen. Hvis du må deaktivere tjenesten, for eksempel for å utføre katastrofegjenoppretting, må du starte en ny prøveversjon og konfigurere settet med pilotbrukere for den nye prøveversjonen før du går tilbake til produksjonsmodus når du aktiverer den. Hvorvidt brukere beholder tilgangen til data på dette tidspunktet, avhenger av om du har vedlikeholdt sikkerhetskopier av datalager og ISO konfigurasjonsfil for Hybrid Data Security-nodene i klyngen.
Datasenter i ventemodus for katastrofegjenoppretting
Under distribusjonen konfigurerer du et sikkert datasenter i ventemodus . I tilfelle en datasenter , kan du feile distribusjonen manuelt over til datasenter i ventemodus .
Databasene til det aktive datasenteret og datasenteret i ventemodus er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover. ISO-filen til datasenter for ventemodus oppdateres med flere konfigurasjoner som sikrer at nodene registreres i organisasjonen, men ikke håndterer trafikk. Derfor forblir nodene i standby datasenter alltid oppdatert med den nyeste versjonen av HDS-programvaren.
De aktive hybriddatasikkerhetsnodene må alltid være i samme datasenter som den aktive databaseserver. |
Konfigurere datasenter i ventemodus for katastrofegjenoppretting
Følg trinnene nedenfor for å konfigurere ISO-filen for datasenter i ventemodus:
Før du starter
datasenter i ventemodus skal speile produksjonsmiljøet til virtuelle maskiner og en sikkerhetskopi av PostgreSQL- eller Microsoft SQL Server-database. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. (Se Datasenter i ventemodus for katastrofegjenoppretting for en oversikt over denne failover-modellen.)
Kontroller at databasesynkronisering er aktivert mellom databasen med aktive og passive klyngenoder.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .
| ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor for å plassere noden i passiv modus. I denne modusen vil noden være registrert i organisasjonen og koblet til skyen, men vil ikke håndtere trafikk.
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
Etter konfigurering passiveMode
i ISO-filen og lagrer den, kan du opprette en annen kopi av ISO-filen uten passiveMode
konfigurasjonen og lagre den på et sikkert sted. Denne kopien av ISO-filen uten passiveMode
konfigurert kan hjelpe i en rask failover-prosess under katastrofegjenoppretting. Se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus for den detaljerte failover-prosedyren.
Proxy-støtte
Hybriddatasikkerhet støtter eksplisitte, gjennomsiktige proxyer for inspeksjon og ikke-inspeksjon. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et grensesnitt for plattformadministrasjon på nodene for sertifikatadministrasjon og kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.
Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:
Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Klareringslager og proxy-konfigurasjon til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig ikke-inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse, og bør ikke trenge endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig tunnelering eller inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjon er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de klarerer proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer om hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og hvilken godkjenningsplan som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon for hver node:
Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.
Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.
Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:
HTTP – Viser og kontrollerer alle forespørsler som klienten sender.
HTTPS – Gir en kanal til serveren. Klienten mottar og godkjenner serverens sertifikat.
Godkjenningstype – Velg blant følgende godkjenningstyper:
Ingen – Ingen ytterligere godkjenning er nødvendig.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Grunnleggende – Brukes for en HTTP-brukeragent til å angi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.
Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Eksempel på noder og proxy for hybriddatasikkerhet
Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og HTTPS eksplisitt inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.
Blokkert ekstern DNS-oppløsningsmodus (eksplisitt proxy-konfigurasjoner)
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsningsmodus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.
Krav for hybrid datasikkerhet
Lisenskrav for Cisco Webex
Slik distribuerer du hybrid datasikkerhet:
Du må ha Pro Pack for Cisco Webex Control Hub. (Sehttps://www.cisco.com/go/pro-pack .)
Krav til Docker-skrivebord
Før du installerer HDS-nodene, må du ha Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig lisensieringsmodellen. Organisasjonen din kan kreve et betalt abonnement for Docker Desktop. Hvis du vil ha mer informasjon, se Docker-blogginnlegget, « Docker oppdaterer og utvider produktabonnementene våre «.
Krav til X.509-sertifikater
sertifikatkjede må oppfylle følgende krav:
Krav | Detaljer |
---|---|
| Som standard klarerer vi sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) påhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN-en trenger ikke å være tilgjengelig eller være en direktevert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel CN kan ikke inneholde en * (jokertegn). CN brukes til å bekrefte hybriddatasikkerhetsnodene til Webex App-klienter. Alle hybriddatasikkerhetsnodene i klyngen bruker det samme sertifikatet. KMS-en din identifiserer seg ved hjelp av CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene. Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN- domenenavn. Velg et domene som kan gjelde for både prøveversjonen og produksjonsdistribusjonene. |
| KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjoners KMS-er. |
| Du kan bruke et konverteringsprogram som OpenSSL til å endre sertifikatets format. Du må angi passordet når du kjører HDS-installasjonsverktøyet. |
KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifiseringsinstanser krever at utvidede begrensninger for nøkkelbruk brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.
Krav til virtuell vert
De virtuelle vertene som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen, har følgende krav:
Minst to separate verter (tre anbefales) plassert i det samme sikre datasenter
VMware ESXi 6.5 (eller nyere) er installert og kjører.
Du må oppgradere hvis du har en tidligere versjon av ESXi.
Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokal harddiskplass per server
Krav til databaseserver
Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene, når de er installert, oppretter databaseskjemaet. |
Det finnes to alternativer for databaseserver. Kravene for hver av dem er som følger:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) | Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) |
HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserver:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC-driver 42.2.5 | SQL Server JDBC-driver 4.6 Denne driverversjonen støtter SQL Server Always On ( Alltid på failover-klyngeforekomster og Alltid på tilgjengelighetsgrupper ). |
Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server
Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:
HDS-nodene, Active Directory -infrastrukturen og MS SQL Server må alle være synkronisert med NTP.
Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.
DNS-serverne du oppgir til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).
Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et Service Principal Name (SPN) i Active Directory. Se Registrer et hovednavn for tjeneste for Kerberos Connections .
HDS-oppsettverktøyet, HDS-startprogrammet og lokal KMS må alle bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN når de ber om tilgang med Kerberos-autentisering.
Krav til ekstern tilkobling
Konfigurer brannmuren til å tillate følgende tilkoblingsmuligheter for HDS-programmene:
Applikasjon | Protokoll | Port | Veibeskrivelse fra app | Destinasjon |
---|---|---|---|---|
Hybride datasikkerhetsnoder | TCP | 443 | Utgående HTTPS og WSS |
|
HDS-oppsettverktøy | TCP | 443 | Utgående HTTPS |
|
Hybrid Data Security-nodene fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmur tillater de nødvendige utgående tilkoblingene til domenemålene i den foregående tabellen. For tilkoblinger som går inn til Hybrid Data Security-nodene, skal ingen porter være synlige fra Internett. I datasenter ditt trenger klienter tilgang til hybriddatasikkerhetsnodene på TCP-portene 443 og 22 til administrative formål. |
URL-adressene for CI-vertene (Common Identity) er regionsspesifikke. Dette er de nåværende CI-vertene:
Region | Felles URL-adresser for vertsidentitet |
---|---|
Nord- og Sør-Amerika |
|
Den europeiske union |
|
Canada |
|
Krav til proxy-server
Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene dine for hybriddatasikkerhet.
Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).
Eksplisitt proxy – Squid.
Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av WebSocket (wss:) tilkoblinger. Hvis du vil omgå dette problemet, kan du se Konfigurer Squid-proxyer for hybrid datasikkerhet .
Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:
Ingen godkjenning med HTTP eller HTTPS
Enkel godkjenning med HTTP eller HTTPS
Sammendragsgodkjenning kun med HTTPS
Hvis du vil ha en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne håndboken beskriver hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnoder.
Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.
Proxyer som inspiserer nettrafikk, kan forstyrre WebSocket-tilkoblinger. Hvis dette problemet oppstår, kan du omgå (ikke inspisere) trafikk til
wbx2.com
ogciscospark.com
vil løse problemet.
Fullfør forutsetningene for hybrid datasikkerhet
1 | Kontroller at Webex-organisasjonen din er aktivert for Pro Pack for Cisco Webex Control Hub, og få legitimasjonen til en konto med fulle administrator . Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen. | ||
2 | Velg et domenenavn for HDS-distribusjonen (for eksempel | ||
3 | Klargjør identiske virtuelle verter som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen. Du trenger minst to separate verter (tre anbefales) plassert i det samme sikre datasenter, som oppfyller kravene i Krav til virtuell vert . | ||
4 | Klargjør databaseserver som skal fungere som datalager for klyngen, i henhold til Krav til databaseserver . databaseserver må være lokalisert i det sikre datasenter med de virtuelle vertene. | ||
5 | Hvis du vil ha rask gjenoppretting ved katastrofegjenoppretting, konfigurerer du et sikkerhetskopimiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet for virtuelle datamaskiner og en databaseserver. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. | ||
6 | Konfigurer en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadresse og syslog-porten (standard er UDP 514). | ||
7 | Opprett en sikker sikkerhetskopieringspolicy for Hybrid Data Security-nodene, databaseserver og syslog-verten. For å forhindre tap av ugjenopprettelig data må du som et minimum sikkerhetskopiere databasen og ISO-konfigurasjonsfilen som er generert for Hybrid Data Security-nodene.
Webex App-klienter hurtigbufrer nøklene sine, så et driftsbrudd vil kanskje ikke merkes umiddelbart, men vil bli tydelig over tid. Selv om midlertidige strømbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopier tilgjengelig) av enten databasen eller ISO-konfigurasjonsfilen vil imidlertid føre til kundedata som ikke kan gjenopprettes. Operatørene av Hybrid Data Security-nodene forventes å opprettholde hyppige sikkerhetskopier av databasen og ISO-konfigurasjonsfilen, og være forberedt på å gjenoppbygge Hybrid Data Security datasenter hvis det oppstår en katastrofal feil. | ||
8 | Kontroller at brannmurkonfigurasjonen tillater tilkobling for Hybrid Data Security-nodene som angitt i Krav til ekstern tilkobling . | ||
9 | Installer Docker (https://www.docker.com ) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til den på http://127.0.0.1:8080. Du bruker Docker-forekomsten til å laste ned og kjøre installasjonsverktøyet for HDS, som bygger den lokale konfigurasjonsinformasjon for alle Hybrid Data Security-nodene. Organisasjonen din kan trenge en Docker Desktop-lisens. Se Krav til Docker-skrivebord hvis du vil ha mer informasjon. Hvis du vil installere og kjøre HDS-installasjonsverktøyet, må den lokale maskinen ha tilkoblingsmulighetene som er angitt i Krav til ekstern tilkobling . | ||
10 | Hvis du integrerer en proxy med Hybrid Data Security, må du kontrollere at den oppfyller Krav til proxy-server . | ||
11 | Hvis organisasjonen din bruker katalogsynkronisering, oppretter du en gruppe i Active Directory som heter
|
Oppgaveflyt for distribusjon av hybrid datasikkerhet
Før du starter
1 |
Last ned OVA-filen til din lokale maskin for senere bruk. | ||
2 | Opprett en konfigurasjons-ISO for HDS-vertene Bruk HDS-oppsettverktøyet til å opprette en ISO konfigurasjonsfil for hybriddatasikkerhetsnodene. | ||
3 |
Opprett en virtuell maskin fra OVA-filen og utfør den første konfigurasjonen, for eksempel nettverksinnstillinger.
| ||
4 | Konfigurer den virtuelle hybriddatasikkerhetsmaskinen Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon. | ||
5 | Last opp og monter HDS-konfigurasjons-ISO Konfigurer den virtuelle maskinen fra ISO konfigurasjonsfil du opprettet med HDS-installasjonsverktøyet. | ||
6 | Konfigurere HDS-noden for proxy-integrasjon Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du proxy-typen du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig. | ||
7 | Registrer den første noden i klyngen Registrer den virtuelle maskinen med Cisco Webex skyen som en hybrid datasikkerhetsnode. | ||
8 | Opprett og registrer flere noder Fullfør klyngeoppsettet. | ||
9 | Kjør en prøveversjon og gå til produksjon (neste kapittel) Frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert. |
Last ned installasjonsfiler
1 | Logg påhttps://admin.webex.com , og klikk deretter Tjenester . | ||||
2 | Finn Hybrid Data Security-kortet under Hybridtjenester, og klikk deretter på Konfigurer . Hvis kortet er deaktivert eller du ikke ser det, kontakter du kontoteamet ditt eller partnerorganisasjonen din. Gi dem kontonummeret ditt, og be om å aktivere organisasjonen din for Hybrid Data Security. Hvis du vil finne kontonummeret, klikker du på tannhjulet øverst til høyre, ved siden av organisasjonsnavnet.
| ||||
3 | Velg Nei for å indikere at du ikke har satt opp noden ennå, og klikk deretter på Neste . Nedlastingen av OVA-filen begynner automatisk. Lagre filen et sted på maskinen.
| ||||
4 | Du kan også klikke på Åpne Distribusjonsveiledning for å sjekke om det finnes en nyere versjon av denne veiledningen. |
Opprett en konfigurasjons-ISO for HDS-vertene
Konfigurasjonsprosessen for Hybrid Data Security oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere Hybrid Data Security-verten.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariabler når du henter frem Docker-beholderen i trinn 5 . Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen når du gjør konfigurasjonsendringer, for eksempel disse:
Databaselegitimasjon
Sertifikatoppdateringer
Endringer i retningslinjene for autorisasjon
Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du PostgreSQL- eller SQL Server-distribusjonen for TLS.
1 | På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende:
| ||||||||||||
3 | Når du blir bedt om passord, skriver du inn denne hashen:
| ||||||||||||
4 | Last ned det nyeste stabile bildet for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:
Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080». | ||||||||||||
6 |
Bruk en nettleser til å gå til den lokale verten, Verktøyet bruker denne første oppføringen i brukernavnet til å angi riktig miljø for den kontoen. Verktøyet viser deretter standard påloggingsmelding. | ||||||||||||
7 | Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Control Hub-kundeadministratoren, og klikker deretter på Logg inn for å gi tilgang til de nødvendige tjenestene for Hybrid Data Security. | ||||||||||||
8 | På oversiktssiden for installasjonsverktøy klikker du på Kom i gang . | ||||||||||||
9 | På ISO-import side, har du disse alternativene:
| ||||||||||||
10 | Kontroller at X.509-sertifikatet oppfyller kravene i Krav til X.509-sertifikater .
| ||||||||||||
11 | Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret: | ||||||||||||
12 | Velg en Tilkoblingsmodus for TLS-database :
Når du laster opp rotsertifikat (om nødvendig), og klikker Fortsett tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserver. Verktøyet bekrefter også sertifikatunderskriveren og vertsnavnet, hvis det er aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan det hende at HDS-nodene kan opprette TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.) | ||||||||||||
13 | Konfigurer Syslogd-serveren på siden Systemlogger: | ||||||||||||
14 | (Valgfritt) Du kan endre standardverdi for noen databasetilkoblingsparametere i Avanserte innstillinger . Vanligvis er denne parameteren den eneste du kanskje vil endre:
| ||||||||||||
15 | Klikk på Fortsett på Tilbakestill passordet for tjenestekontoer skjermen. Passord for tjenestekontoer har en levetid på ni måneder. Bruk denne skjermen når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem for å ugyldiggjøre tidligere ISO-filer. | ||||||||||||
16 | Klikk på Last ned ISO-fil . Lagre filen på et sted som er lett å finne. | ||||||||||||
17 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||||||||||||
18 | Hvis du vil avslutte konfigureringsverktøyet, skriver du inn |
Hva nå?
Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.
Vi har aldri en kopi av denne nøkkelen, og kan ikke hjelpe hvis du mister den. |
Installer HDS Host OVA
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten. | ||||||
2 | Velg Fil > Distribuer OVF-mal . | ||||||
3 | Angi plasseringen av OVA-filen du lastet ned tidligere i veiviseren, og klikk deretter på Neste . | ||||||
4 | På Velg et navn og en mappe side, skriver du inn en Navn på virtuell maskin for noden (for eksempel «HDS_ Node_ 1"), velg et sted der nodedistribusjonen for den virtuell maskin kan ligge, og klikk deretter Neste . | ||||||
5 | På Velg en databehandlingsressurs -siden, velg måldataressursen, og klikk deretter Neste . Det kjøres en valideringskontroll. Når den er fullført, vises maldetaljene. | ||||||
6 | Kontroller maldetaljene, og klikk deretter på Neste . | ||||||
7 | Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon side, klikk 4 CPUer og klikk deretter Neste . | ||||||
8 | På Velg lagring side, klikk Neste for å godta standard diskformat og retningslinjer for VM-lagring. | ||||||
9 | På Velg nettverk -siden, velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til den virtuelle maskinen. | ||||||
10 | På Tilpass mal side, konfigurerer du følgende nettverksinnstillinger:
Hvis du foretrekker det, kan du hoppe over konfigurasjonen av nettverksinnstillinger og følge trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen for å konfigurere innstillingene fra nodekonsollen.
| ||||||
11 | Høyreklikk på den virtuelle noden, og velg deretter .Hybrid Data Security-programvaren installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden. Feilsøkingstips Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen ved første oppstart, der du ikke kan logge på. |
Konfigurer den virtuelle hybriddatasikkerhetsmaskinen
Bruk denne fremgangsmåten til å logge på VM-konsollen for Hybrid Data Security-noden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.
1 | I VMware vSphere-klienten velger du den virtuelle hybriddatasikkerhetsnoden og velger Konsoll -fanen. Den virtuelle maskinen starter opp, og det vises en påloggingsmelding. Hvis påloggingsmeldingen ikke vises, trykker du på Gå inn .
|
2 | Bruk følgende standard påloggingsinformasjon og passord for å logge på og endre legitimasjonen: Siden du logger på den virtuelle maskinen for første gang, må du endre administrator . |
3 | Hvis du allerede har konfigurert nettverksinnstillinger i Installer HDS Host OVA , hopper du over resten av denne prosedyren. Ellers velger du på hovedmeny Rediger konfigurasjon alternativet. |
4 | Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke. |
5 | (Valgfritt) Endre vertsnavnet, domenet eller NTP-server(e) om nødvendig for å samsvare med nettverkspolicyen din. Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet. |
6 | Lagre nettverkskonfigurasjon og start den virtuelle maskinen på nytt slik at endringene trer i kraft. |
Last opp og monter HDS-konfigurasjons-ISO
Før du starter
Siden ISO-filen inneholder hovednøkkelen, bør den bare vises på en «trenger å vite»-basis, for tilgang for de virtuelle hybriddatasikkerhets-ene og alle administratorer som måtte trenge å gjøre endringer. Kontroller at bare disse administratorene har tilgang til datalageret.
1 | Last opp ISO-filen fra datamaskinen: |
2 | Monter ISO-filen: |
Hva nå?
Hvis IT-retningslinjene krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene dine har registrert konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.
Konfigurere HDS-noden for proxy-integrasjon
Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybriddatasikkerhet. Hvis du velger en gjennomsiktig inspeksjonsproxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet og feilsøke eventuelle problemer.
Før du starter
Se Proxy-støtte hvis du vil ha en oversikt over proxy-alternativene som støttes.
1 | Angi URL-adressen til oppsett av HDS-node |
2 | Gå til Klareringslager og proxy, og velg deretter et alternativ:
Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en HTTP-eksplisitt proxy med enkel godkjenning eller en eksplisitt HTTPS-proxy. |
3 | Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen. Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på vinkeltegnpilen ved navnet på sertifikatutstederen for å få flere detaljer, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt. |
4 | Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen. Hvis tilkoblingstesten mislykkes, ser du en feilmelding som viser årsaken og hvordan du kan løse problemet. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne betingelsen forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene, og deretter ser du Slå av blokkert ekstern DNS-oppløsningsmodus . |
5 | Etter at tilkoblingstesten blir bestått, kun for eksplisitt proxy satt til https, setter du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen trer i kraft etter 15 sekunder. |
6 | Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en HTTP-eksplisitt proxy), les ledeteksten, og klikk deretter på Installer hvis du er klar. Noden starter på nytt i løpet av noen få minutter. |
7 | Når noden har startet på nytt, logger du på igjen om nødvendig, og deretter åpner du Oversikt-siden for å kontrollere tilkoblingskontrollene for å sikre at alle har grønn status. Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det oppstår tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen. |
Registrer den første noden i klyngen
Når du registrerer den første noden, oppretter du en klynge som noden er tilordnet. En klynge inneholder én eller flere noder distribuert for å gi redundans.
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Logg på https://admin.webex.com. |
2 | Fra menyen på venstre side av skjermen velger du Tjenester . |
3 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Konfigurer . Siden Registrer hybrid node for datasikkerhet vises.
|
4 | Velg Ja for å indikere at du har satt opp noden og er klar til å registrere den, og klikk deretter på Neste . |
5 | I det første feltet skriver du inn et navn på klyngen du vil tilordne Hybrid Data Security-noden til. Vi anbefaler at du gir navn til en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: «San Francisco» eller «New York» eller «Dallas» |
6 | I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste . Denne IP-adresse eller FQDN må samsvare med IP-adresse eller vertsnavnet og domenet du brukte i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . Det vises en melding som angir at du kan registrere noden til Webex.
|
7 | Klikk på Gå til Node . |
8 | Klikk på Fortsett i advarselsmelding. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til Webex-organisasjonen din for å få tilgang til noden.
|
9 | Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett . Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
|
10 | Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden. På Hybrid datasikkerhet side, vises den nye klyngen som inneholder noden du registrerte. Noden vil automatisk laste ned den nyeste programvaren fra skyen.
|
Opprett og registrer flere noder
På dette tidspunktet er de virtuelle sikkerhetskopiene-ene du opprettet i Fullfør forutsetningene for hybrid datasikkerhet er standby-verter som bare brukes i tilfelle katastrofegjenoppretting; de er ikke registrert i systemet før da. Hvis du vil ha mer informasjon, se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus . |
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA . |
2 | Konfigurer den første konfigurasjonen på den nye virtuelle maskinen, og gjenta trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . |
3 | Gjenta trinnene i den nye VM-en Last opp og monter HDS-konfigurasjons-ISO . |
4 | Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrering etter behov for den nye noden. |
5 | Registrer noden. Noden din er registrert. Merk at frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.
|
Hva nå?
Oppgaveflyt fra prøveversjon til produksjon
Når du har konfigurert en Hybrid Data Security-klynge, kan du starte en pilot, legge til brukere i den og begynne å bruke den til testing og bekreftelse av distribusjonen som forberedelse til overgang til produksjon.
Før du starter
1 | Hvis det er aktuelt, synkroniserer du Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge |
2 |
Start en prøveversjon. Frem til du gjør denne oppgaven, genererer nodene en alarm som indikerer at tjenesten ennå ikke er aktivert. |
3 | Test hybriddistribusjonen av datasikkerhet Kontroller at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen. |
4 | Overvåke helse for hybrid datasikkerhet Sjekk status, og konfigurer e-postvarsler for alarmer. |
5 | |
6 | Fullfør prøveperioden med én av følgende handlinger: |
Aktiver prøveversjon
Før du starter
Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup
gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.
1 | Logg påhttps://admin.webex.com , og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Start prøveversjonen . Tjenestestatusen endres til prøveversjonsmodus.
|
4 | Klikk på Legg til brukere og angi e-postadresse til én eller flere brukere for å prøve å bruke Hybrid Data Security-nodene for kryptering og indekseringstjenester. (Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory til å administrere prøvegruppen, |
Test hybriddistribusjonen av datasikkerhet
Før du starter
Konfigurer Hybrid Data Security-distribusjonen.
Aktiver prøveversjonen, og legg til flere prøveversjonsbrukere.
Kontroller at du har tilgang til syslog for å bekrefte at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.
1 | Taster for et gitt område angis av oppretteren av området. Logg på Webex-appen som én av pilotbrukerne, og opprett deretter et område og inviter minst én pilotbruker og én ikke-pilotbruker.
| ||
2 | Send meldinger til det nye området. | ||
3 | Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til Hybrid Data Security-distribusjonen. |
Overvåke helse for hybrid datasikkerhet
1 | I Kontrollhub , velger du Tjenester fra menyen på venstre side av skjermen. |
2 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Innstillinger . Siden Innstillinger for hybrid datasikkerhet vises.
|
3 | I delen E-postvarsler skriver du inn én eller flere e-postadresser atskilt med komma, og trykker på Gå inn . |
Legg til eller fjern brukere fra prøveversjonen
Hvis du fjerner en bruker fra prøveversjonen, vil brukerens klient be om å opprette nøkler og nøkler fra KMS-skyen i stedet for KMS-en din. Hvis klienten trenger en nøkkel som er lagret på KMS-en, vil KMS-en i skyen hente den på brukerens vegne.
Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory (i stedet for denne prosedyren) til å administrere prøvegruppen, HdsTrialGroup
; du kan vise gruppemedlemmene i Control Hub, men kan ikke legge til eller fjerne dem.
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Prøvemodus i området Tjenestestatus klikker du på Legg til brukere , eller klikk vise og redigere for å fjerne brukere fra prøveversjonen. |
4 | Skriv inn e-postadresse til én eller flere brukere som skal legges til, eller klikk på X av en bruker-ID for å fjerne brukeren fra prøveversjonen. Klikk deretter på Lagre. |
Gå fra prøveversjon til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Flytt til produksjon . |
4 | Bekreft at du vil flytte alle brukerne til produksjon. |
Avslutt prøveversjonen uten å gå til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I Deaktiver-delen klikker du på Deaktiver . |
4 | Bekreft at du vil deaktivere tjenesten og avslutte prøveversjonen. |
Behandle HDS-distribusjon
Bruk oppgavene som er beskrevet her, til å administrere Hybrid Data Security-distribusjonen.
Angi tidsplan for klyngeoppgradering
Slik angir du oppgraderingsplanen:
1 | Logg på Kontrollhub . |
2 | På Oversikt-siden, under Hybridtjenester, velger du Hybrid datasikkerhet . |
3 | Velg klyngen på siden Hybriddatasikkerhetsressurser. |
4 | I Oversikt-panelet til høyre, under Klyngeinnstillinger, velger du klyngenavnet. |
5 | På Innstillinger-siden, under Oppgradering, velger du tid og tidssone for oppgraderingsplanen. Merk: Under tidssone vises dato og klokkeslett for neste tilgjengelige oppgradering. Du kan om nødvendig utsette oppgraderingen til neste dag ved å klikke på Utsette . |
Endre nodekonfigurasjonen
Endring av x.509-sertifikater på grunn av utløpsdato eller andre årsaker.
Vi støtter ikke endring av CN- domenenavn for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.
Oppdaterer databaseinnstillinger for å endre til en replika av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt vei. Hvis du vil bytte databasemiljø, starter du en ny distribusjon av Hybrid Data Security.
Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.
Av sikkerhetsmessige årsaker bruker Hybriddata-sikkerhet passord som har en levetid på ni måneder på tjenestekontoer. HDS-installasjonsverktøyet genererer disse passordene, og du distribuerer dem til hver av HDS-nodene dine som en del av ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløp, mottar du et «Varsel om utløp av passord» fra Webex-teamet, der du blir bedt om å tilbakestille passordet for maskinkontoen. (E-posten inneholder teksten «Bruk maskinkontoens API til å oppdatere passordet.») Hvis passordene ikke er utløpt ennå, gir verktøyet deg to alternativer:
Myk tilbakestilling – Det gamle og det nye passordet fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.
Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.
Hvis passordene dine utløper uten en tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.
Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du henter opp Docker-beholderen i 1.e . Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO-en inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO-en når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i autorisasjonspolicy.
1 | Kjør HDS-konfigureringsverktøyet via Docker på en lokal maskin. |
2 | Hvis du kun kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den via den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, se Opprett og registrer flere noder . |
3 | For eksisterende HDS-noder som kjører den eldre konfigurasjonsfil, monterer du ISO-filen. Utfør følgende prosedyre på hver node etter tur, og oppdater hver node før du slår av neste node: |
4 | Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen. |
Deaktiver blokkert ekstern DNS-oppløsningsmodus
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modusen blokkert ekstern DNS-oppløsning.
Hvis nodene kan løse offentlige DNS-navn via interne DNS-servere, kan du deaktivere denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.
Før du starter
1 | Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/-oppsett, for eksempel https://192.0.2.0/setup),angi administratorlegitimasjonen du konfigurerte for noden, og klikk deretter på Logg på. |
2 | Gå til Oversikt (standardsiden). Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja. |
3 | Gå til siden Klareringslager og proxy. |
4 | Klikk på Kontroller proxy-tilkobling. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og den vil forbli i denne modusen. Ellers, etter at du har startet noden på nytt og gått tilbake til Oversikt-siden, bør Blokkert ekstern DNS-oppløsning settes til Nei. |
Hva nå?
Fjerne en node
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuell maskin. |
2 | Fjern noden: |
3 | Slett den virtuelle maskinen i vSphere-klienten. (I venstre navigasjonsrute høyreklikk du på den virtuelle maskinen og klikker Slett .) Hvis du ikke sletter den virtuelle maskinen, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke den virtuelle maskinen til å få tilgang til sikkerhetsdataene dine. |
Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus
Den mest kritiske tjenesten Hybrid Data Security-klyngen tilbyr, er opprettelse og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet Hybrid Data Security, rutes nye forespørsler om å opprette nøkkel til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til alle brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.
Siden klyngen utfører den kritiske funksjonen med å oppgi disse nøklene, er det viktig at klyngen fortsetter å kjøre og at forsvarlige sikkerhetskopier opprettholdes. Tap av Hybrid Data Security-databasen eller av ISO-konfigurasjonen som ble brukt for skjemaet, vil føre til TAP av kundeinnhold som ikke kan gjenopprettes. Følgende fremgangsmåter er obligatoriske for å forhindre slikt tap:
Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenter blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til datasenter i ventemodus.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene . | ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor eller fjerner
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
(Valgfritt) Avmonter ISO etter HDS-konfigurasjon
Standard HDS-konfigurasjonen kjører med ISO-en montert. Men noen kunder foretrekker å ikke la ISO-filer være kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-noder har plukket opp den nye konfigurasjonen.
Du bruker fortsatt ISO-filene til å gjøre konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO via installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene dine har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en på nytt med denne prosedyren.
Før du starter
Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.
1 | Avslutt én av HDS-nodene dine. |
2 | I vCenter Server Appliance velger du HDS-noden. |
3 | Velg ISO-fil for datalager . og fjern merket |
4 | Slå på HDS-noden og kontroller at det ikke er noen alarmer på minst 20 minutter. |
5 | Gjenta for hver HDS-node etter tur. |
Vis varsler og feilsøking
En Hybrid Data Security-distribusjon anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller hvis klyngen fungerer så sakte at forespørslene tidsavbrudd. Hvis brukere ikke kan nå Hybrid Data Security-klyngen, opplever de følgende symptomer:
Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)
Meldinger og områdetitler kan ikke dekrypteres for:
Nye brukere lagt til i et område (kan ikke hente nøkler)
Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)
Eksisterende brukere i et område fortsetter å kjøre så lenge klientene deres har en hurtigbuffer for krypteringsnøklene
Det er viktig at du overvåker Hybrid Data Security-klyngen på riktig måte og adresserer alle varsler umiddelbart for å unngå avbrudd i tjenesten.
Varsler
Hvis det er et problem med oppsettet av Hybrid Data Security, viser Control Hub varsler til administrator og sender e-postmeldinger til den konfigurerte e-postadresse. Varslene dekker mange vanlige scenarier.
Varsel | Handling |
---|---|
Feil ved tilgang til lokal database. |
Se etter databasefeil eller problemer med det lokale nettverket. |
tilkoblingsfeil til lokal database. |
Kontroller at databaseserver er tilgjengelig, og at riktig påloggingsinformasjon for tjenestekonto ble brukt i nodekonfigurasjonen. |
Tilgangsfeil for skytjeneste. |
Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling . |
Fornyer registrering av skytjeneste. |
Registrering for skytjenester ble avbrutt. Fornyelse av registrering pågår. |
Registrering av skytjeneste ble avbrutt. |
Registreringen til skytjenester ble avsluttet. Tjenesten avsluttes. |
Tjenesten ikke aktivert ennå. |
Aktiver en prøveversjon, eller fullfør flyttingen av prøveversjonen til produksjon. |
Det konfigurerte domenet samsvarer ikke med serversertifikat. |
Kontroller at serversertifikat samsvarer med det konfigurerte domenet for tjenesteaktivering. Den mest sannsynlige årsaken er at sertifikatet CN nylig ble endret og nå er forskjellig fra CN som ble brukt under det første oppsettet. |
Kunne ikke autentisere for skytjenester. |
Se etter nøyaktighet og mulig utløp av legitimasjon for tjenestekonto . |
Kunne ikke åpne den lokale nøkkellagerfilen. |
Se etter integritet og passordnøyaktighet i den lokale nøkkellagerfilen. |
Det lokale serversertifikat er ugyldig. |
Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans. |
Kan ikke legge inn beregninger. |
Sjekk lokal nettverkstilgang til eksterne skytjenester. |
Katalogen /media/configdrive/hds finnes ikke. |
Kontroller konfigurasjonen for ISO-montering på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å montere ved omstart, og at den er vellykket. |
Feilsøke hybrid datasikkerhet
1 | Se gjennom Control Hub for å se eventuelle varsler, og reparer alle elementer du finner der. |
2 | Se gjennom syslog-serverutdataene for aktivitet fra Hybrid Data Security-distribusjonen. |
3 | Kontakt Cisco-støtte . |
Kjente problemer med hybrid datasikkerhet
Hvis du avslutter Hybrid Data Security-klyngen (ved å slette den i Control Hub eller ved å avslutte alle noder), mister ISO-konfigurasjonsfilen eller mister tilgangen til nøkkellagerdatabasen, kan brukerne av Webex-appen ikke lenger bruke områder under Personene sine liste som ble opprettet med nøkler fra KMS. Dette gjelder både prøveversjon og produksjonsdistribusjoner. Vi har for øyeblikket ingen løsning eller løsning for dette problemet, og vi ber deg innstendig om ikke å avslutte HDS-tjenestene dine når de håndterer aktive brukerkontoer.
En klient som har en eksisterende ECDH-tilkobling til en KMS, opprettholder denne tilkoblingen i en periode (sannsynligvis én time). Når en bruker blir medlem av en prøveversjon av Hybrid Data Security, fortsetter brukerens klient å bruke den eksisterende ECDH-tilkoblingen frem til tidsavbrudd. Alternativt kan brukeren logge av og på igjen Webex-appen for å oppdatere plasseringen appen kontakter for krypteringsnøkler.
Den samme virkemåten oppstår når du flytter en prøveversjon til produksjon for organisasjonen. Alle ikke-prøvebrukere med eksisterende ECDH-tilkoblinger til de tidligere datasikkerhetstjenestene vil fortsette å bruke disse tjenestene til ECDH-tilkoblingen reforhandles (gjennom tidsavbrudd eller ved å logge av og på igjen).
Bruk OpenSSL til å generere en PKCS12-fil
Før du starter
OpenSSL er ett verktøy som kan brukes til å gjøre PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi hverken støtter eller promoterer én måte fremfor en annen.
Hvis du velger å bruke OpenSSL, tilbyr vi denne fremgangsmåten som en retningslinje for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i Krav til X.509-sertifikater . Forstå disse kravene før du fortsetter.
Installer OpenSSL i et støttet miljø. Sehttps://www.openssl.org for programvaren og dokumentasjonen.
Opprett en privat nøkkel.
Start denne prosedyren når du mottar serversertifikat fra sertifiseringsinstans (CA).
1 | Når du mottar serversertifikat fra CA, lagrer du det som |
2 | Vis sertifikatet som tekst, og bekreft detaljene.
|
3 | Bruk et tekstredigeringsprogram til å opprette en sertifikatpakkefil kalt
|
4 | Opprett .p12-filen med det vennlige navnet
|
5 | Kontroller serversertifikat . |
Hva nå?
Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet . Du vil bruke hdsnode.p12
filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-vertene .
Du kan bruke disse filene på nytt til å be om et nytt sertifikat når det opprinnelige sertifikatet utløper. |
Trafikk mellom HDS-nodene og skyen
Utgående trafikk for innsamling av beregninger
Hybriddatasikkerhetsnodene sender bestemte beregninger til Webex-skyen. Disse inkluderer systemmålinger for maks. haug, brukt haug, CPU-belastning og antall tråder. målinger for synkrone og asynkrone tråder; målinger for varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller en forespørselskølengde; målinger på datalageret; og måleverdier for krypteringstilkobling. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).
Innkommende trafikk
Hybriddatasikkerhetsnodene mottar følgende typer innkommende trafikk fra Webex-skyen:
Krypteringsforespørsler fra klienter, som rutes av krypteringstjenesten
Oppgraderinger til nodeprogramvaren
Konfigurer Squid-proxyer for hybrid datasikkerhet
Websocket kan ikke koble til via Squid-proxy
Squid-proxyer som inspiserer HTTPS-trafikk, kan forstyrre etableringen av websocket ( wss:
)-tilkoblinger som Hybrid Data Security krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss:
trafikk for riktig drift av tjenestene.
Squid 4 og 5
Legg til on_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi testet Hybrid Data Security med følgende regler lagt til squid.conf
. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Ny og endret informasjon
Dato |
Endringer gjort | ||
---|---|---|---|
20. oktober 2023 |
| ||
7. august 2023 |
| ||
23. mai 2023 |
| ||
6. desember 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 |
Docker Desktop må kjøre et installasjonsprogram før du kan installere HDS-noder. Se Krav til Docker-skrivebord . | ||
24. juni 2021 |
Merk at du kan bruke den private nøkkelfilen og CSR-en på nytt for å be om et annet sertifikat. Se Bruk OpenSSL til å generere en PKCS12-fil for detaljer. | ||
30. april 2021 |
Endret VM-kravet for lokal harddiskplass til 30 GB. Se Krav til virtuell vert for detaljer. | ||
24. februar 2021 |
HDS-installasjonsverktøyet kan nå kjøres bak en proxy. Se Opprett en konfigurasjons-ISO for HDS-vertene for detaljer. | ||
2. februar 2021 |
HDS kan nå kjøres uten en montert ISO-fil. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer. | ||
11. januar 2021 |
Lagt til informasjon om HDS-oppsettverktøy og proxyer til Opprett en konfigurasjons-ISO for HDS-vertene . | ||
13. oktober 2020 |
Oppdatert Last ned installasjonsfiler . | ||
8. oktober 2020 |
Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med kommandoer for FedRAMP-miljøer. | ||
14. august 2020 |
Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med endringer i påloggingsprosessen. | ||
5. august 2020 |
Oppdatert Test hybriddistribusjonen av datasikkerhet for endringer i loggmeldinger. Oppdatert Krav til virtuell vert for å fjerne maksimalt antall verter. | ||
16. juni 2020 |
Oppdatert Fjerne en node for endringer i Control Hub-grensesnittet. | ||
4. juni 2020 |
Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for endringer i de avanserte innstillingene du måtte angi. | ||
29. mai 2020 |
Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for å vise at du også kan bruke TLS med SQL Server-databaser, brukergrensesnittendringer og andre presiseringer. | ||
5. mai 2020 |
Oppdatert Krav til virtuell vert for å vise nye krav til ESXi 6.5. | ||
21. april 2020 |
Oppdatert Krav til ekstern tilkobling med nye Americas CI-verter. | ||
1. april 2020 |
Oppdatert Krav til ekstern tilkobling med informasjon om regionale CI-verter. | ||
20. februar 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med informasjon om det nye, valgfrie skjermbildet for avanserte innstillinger i HDS-oppsettverktøyet. | ||
4. februar 2020 | Oppdatert Krav til proxy-server . | ||
16. desember 2019 | Klargjorde kravet om at blokkert ekstern DNS-oppløsningsmodus skal fungere i Krav til proxy-server . | ||
19. november 2019 |
La til informasjon om blokkert ekstern DNS-oppløsningsmodus i følgende deler: | ||
8. november 2019 |
Du kan nå konfigurere nettverksinnstillinger for en node mens du distribuerer OVA i stedet for etterpå. Oppdaterte følgende deler tilsvarende:
| ||
6. september 2019 |
Lagt til SQL Server Standard i Krav til databaseserver . | ||
29. august 2019 | Lagt til Konfigurer Squid-proxyer for hybrid datasikkerhet vedlegg med veiledning om konfigurering av Squid-proxyer til å ignorere websocket-trafikk for riktig drift. | ||
20. august 2019 |
Lagt til og oppdaterte deler for å dekke proxy-støtte for hybrid datasikkerhetsnodekommunikasjon til Webex-skyen. Hvis du bare vil ha tilgang til proxy-støtteinnholdet for en eksisterende distribusjon, kan du se Proxy-støtte for hybrid datasikkerhet og Webex-videonett hjelpeartikkel. | ||
13. juni 2019 | Oppdatert Oppgaveflyt fra prøveversjon til produksjon med en påminnelse om å synkronisere HdsTrialGroup gruppeobjekt før du starter en prøveversjon hvis organisasjonen bruker katalogsynkronisering. | ||
6. mars 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. mai 2018 |
Endret terminologi for å gjenspeile endringen av varemerke for Cisco Spark:
| ||
11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
2. november 2017 |
| ||
18. august 2017 |
Først publisert |
Oversikt over hybrid datasikkerhet
Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er ende-til-ende-kryptering av innhold, aktivert av Webex App-klienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografenøklene som klienter bruker til å dynamisk kryptere og dekryptere meldinger og filer.
Som standard får alle Webex App-kunder ende-til-ende-kryptering med dynamiske nøkler lagret i KMS-skyen, i Ciscos sikkerhetsområde. Hybrid Data Security flytter KMS og andre sikkerhetsrelaterte funksjoner til foretningsdata , slik at ingen andre enn du sitter på nøklene til det krypterte innholdet.
Arkitektur for sikkerhetsriket
Webex-skyarkitekturen skiller forskjellige typer tjenester i separate områder, eller klareringsdomener, som vist nedenfor.
For å forstå Hybrid Data Security ytterligere, la oss først se på dette rene skysaken, der Cisco leverer alle funksjoner i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan korreleres direkte med personlig informasjon, for eksempel e-postadresse, er logisk og fysisk atskilt fra sikkerhetsområdet i datasenter B. Begge er igjen atskilt fra området der kryptert innhold til slutt lagres , i datasenter C.
I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og som er autentisert med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:
-
Klienten oppretter en sikker tilkobling med nøkkelbehandlingstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikker tilkobling bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en AES-256-hovednøkkel.
-
Meldingen krypteres før den forlater klienten. Klienten sender den til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe til med fremtidige søk etter innholdet.
-
Den krypterte meldingen sendes til samsvarstjenesten for samsvarskontroll.
-
Den krypterte meldingen lagres i lagringsområdet.
Når du distribuerer Hybrid Data Security, flytter du sikkerhetsområdets funksjoner (KMS, indeksering og samsvar) til det lokale datasenter. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos riker.
Samarbeide med andre organisasjoner
Brukere i organisasjonen din kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen (fordi det ble opprettet av en av brukerne), sender KMS-en nøkkelen til klienten over en ECDH-sikker kanal. Når en annen organisasjon eier nøkkelen for området, ruter KMS-en imidlertid forespørselen ut til Webex-skyen gjennom en egen ECDH-kanal for å hente nøkkelen fra riktig KMS, og returnerer deretter nøkkelen til brukeren på den opprinnelige kanalen.
KMS-tjenesten som kjøres på organisasjon A, validerer tilkoblingene til KMS-er i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet ditt for detaljer om generering av et x.509-sertifikat som skal brukes med Hybrid Data Security-distribusjonen.
Forventninger for distribusjon av hybrid datasikkerhet
En Hybrid Data Security-distribusjon krever betydelig kundeengasjement og en bevissthet om risikoene som følger med å eie krypteringsnøkler.
Hvis du vil distribuere Hybrid Data Security, må du oppgi:
-
Et sikkert datasenter i et land som er et støttet plassering for Cisco Webex Teams planene .
-
Utstyret, programvaren og nettverkstilgangen som er beskrevet i Forbered miljøet ditt .
Fullstendig tap av enten konfigurasjons-ISO-en du bygger for Hybrid Data Security eller databasen du oppgir, vil føre til tap av nøklene. Tap av nøkkel forhindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:
-
Behandle sikkerhetskopieringen og gjenopprettingen av databasen og konfigurasjonen av ISO.
-
Vær forberedt på å utføre rask gjenoppretting ved katastrofegjenoppretting hvis det oppstår en katastrofe, for eksempel en databasediskfeil eller en datasenter .
Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon. |
Konfigurasjonsprosess på høyt nivå
Dette dokumentet dekker oppsett og administrasjon av en Hybrid Data Security-distribusjon:
Konfigurer Hybrid Data Security – Dette inkluderer klargjøring av nødvendig infrastruktur og installasjon av Hybrid Data Security-programvare, testing av distribusjonen med et undersett av brukere i prøveversjonsmodus, og, når testingen er fullført, overgang til produksjon. Dette konverterer hele organisasjonen til å bruke Hybrid Data Security-klyngen for sikkerhetsfunksjoner.
Oppsett-, prøve- og produksjonsfasene dekkes i detalj i de neste tre kapitlene.
-
Vedlikeholde Hybrid Data Security-distribusjonen – Webex-skyen gir automatisk løpende oppgraderinger. IT-avdelingen din kan tilby nivå 1-støtte for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke skjermvarsler og konfigurere e-postbaserte varsler i Control Hub.
-
Forstå vanlige varsler, feilsøkingstrinn og kjente problemer –Hvis du får problemer med å distribuere eller bruke Hybrid Data Security, kan det siste kapitlet i denne veiledningen og tillegget Kjente problemer hjelpe deg med å finne ut og løse problemet.
Hybrid distribusjonsmodell for datasikkerhet
I foretningsdata distribuerer du Hybrid Data Security som én enkelt klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen gjennom sikre websockets og sikker HTTP.
Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere den virtuelle enheten på de virtuelle maskinene du oppgir. Du bruker installasjonsverktøyet for HDS til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Hybrid Data Security-klyngen bruker den medfølgende Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)
Det minste antallet noder du kan ha i en klynge, er to. Vi anbefaler minst tre, og du kan ha opptil fem. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)
Alle nodene i en klynge har tilgang til det samme nøkkeldatalageret og loggaktiviteten til den samme syslog-serveren. Nodene i seg selv er statsløse og håndterer nøkkelforespørsler på en roundrobin-måte, som anvist av skyen.
Nodene blir aktive når du registrerer dem i Control Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.
Vi støtter bare én klynge per organisasjon.
Prøveversjonsmodus for hybrid datasikkerhet
Etter at du har satt opp en Hybrid Data Security-distribusjon, kan du først prøve den med et sett med pilotbrukere. I løpet av prøveperioden bruker disse brukerne det lokale Hybrid Data Security-domenet ditt for krypteringsnøkler og andre sikkerhetstjenester. De andre brukerne dine fortsetter å bruke sikkerhetsområdet for skyen.
Hvis du bestemmer deg for ikke å fortsette med distribusjonen i løpet av prøveperioden og deaktivere tjenesten, mister pilotbrukerne og alle brukere de har samhandlet med ved å opprette nye områder i løpet av prøveperioden tilgangen til meldingene og innholdet. De vil se «Denne meldingen kan ikke dekrypteres» i Webex-appen.
Hvis du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, og du er klar til å utvide Hybrid Data Security til alle brukerne, flytter du distribusjonen til produksjon. Pilotbrukere fortsetter å ha tilgang til nøklene som var i bruk under prøveversjonen. Du kan imidlertid ikke gå frem og tilbake mellom produksjonsmodus og den opprinnelige prøveversjonen. Hvis du må deaktivere tjenesten, for eksempel for å utføre katastrofegjenoppretting, må du starte en ny prøveversjon og konfigurere settet med pilotbrukere for den nye prøveversjonen før du går tilbake til produksjonsmodus når du aktiverer den. Hvorvidt brukere beholder tilgangen til data på dette tidspunktet, avhenger av om du har vedlikeholdt sikkerhetskopier av datalager og ISO konfigurasjonsfil for Hybrid Data Security-nodene i klyngen.
Datasenter i ventemodus for katastrofegjenoppretting
Under distribusjonen konfigurerer du et sikkert datasenter i ventemodus . I tilfelle en datasenter , kan du feile distribusjonen manuelt over til datasenter i ventemodus .
Databasene til det aktive datasenteret og datasenteret i ventemodus er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover. ISO-filen til datasenter for ventemodus oppdateres med flere konfigurasjoner som sikrer at nodene registreres i organisasjonen, men ikke håndterer trafikk. Derfor forblir nodene i standby datasenter alltid oppdatert med den nyeste versjonen av HDS-programvaren.
De aktive hybriddatasikkerhetsnodene må alltid være i samme datasenter som den aktive databaseserver. |
Konfigurere datasenter i ventemodus for katastrofegjenoppretting
Følg trinnene nedenfor for å konfigurere ISO-filen for datasenter i ventemodus:
Før du begynner
-
datasenter i ventemodus skal speile produksjonsmiljøet til virtuelle maskiner og en sikkerhetskopi av PostgreSQL- eller Microsoft SQL Server-database. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. (Se Datasenter i ventemodus for katastrofegjenoppretting for en oversikt over denne failover-modellen.)
-
Kontroller at databasesynkronisering er aktivert mellom databasen med aktive og passive klyngenoder.
1 |
Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .
| ||
2 |
Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 |
På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor for å plassere noden i passiv modus. I denne modusen vil noden være registrert i organisasjonen og koblet til skyen, men vil ikke håndtere trafikk.
| ||
4 |
Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 |
Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 |
I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 |
Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 |
Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 |
Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva du skal gjøre videre
Etter konfigurering passivmodus
i ISO-filen og lagrer den, kan du opprette en annen kopi av ISO-filen uten passivmodus
konfigurasjonen og lagre den på et sikkert sted. Denne kopien av ISO-filen uten passivmodus
konfigurert kan hjelpe i en rask failover-prosess under katastrofegjenoppretting. Se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus for den detaljerte failover-prosedyren.
Proxy-støtte
Hybrid Data Security støtter eksplisitte, gjennomsiktige proxyer for inspeksjon og ikke-inspeksjon. Du kan knytte disse proxyene til distribusjonen din, slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et plattformadministratorgrensesnitt på nodene for sertifikatbehandling og for å kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.
Hybrid Data Security-nodene støtter følgende proxy-alternativer:
-
Ingen proxy – Standarden hvis du ikke bruker HDS-nodeoppsettet Klareringslager og proxy-konfigurasjon til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.
-
Gjennomsiktig proxy som ikke inspiserer – Nodene er ikke konfigurert til å bruke en bestemt proxy-server og skal ikke kreve endringer for å fungere med en ikke-inspeksjonsfull proxy. Ingen sertifikatoppdatering er nødvendig.
-
Gjennomsiktig tunneling eller inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-server . Ingen HTTP- eller HTTPS-konfigurasjonsendringer er nødvendige på nodene. Nodene trenger imidlertid et rotsertifikat slik at de klarerer proxyen. Inspeksjonsfullmakter brukes vanligvis av IT til å håndheve retningslinjer for hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne proxytypen dekrypterer all trafikken din (til og med HTTPS).
-
Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og hvilken godkjenningsordning som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon på hver node:
-
Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.
-
Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.
-
Proxy-protokoll – Velg mellom følgende protokoller, avhengig av hva proxy-server støtter:
-
HTTP – viser og kontrollerer alle forespørsler som klienten sender.
-
HTTPS – Gir en kanal til serveren. Klienten mottar og validerer serverens sertifikat.
-
-
autentiseringstype – Velg blant følgende godkjenningstyper:
-
Ingen – Ingen ytterligere autentisering er nødvendig.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
-
Grunnleggende – Brukes for en HTTP-brukeragent for å oppgi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord på hver node.
-
Sammendrag –Brukes til å bekrefte kontoen før sending av sensitiv informasjon. Bruker en hash-funksjon på brukernavn og passord før sending over nettverket.
Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord på hver node.
-
-
Eksempel på hybridnoder og proxy for datasikkerhet
Dette diagrammet viser et eksempel på en tilkobling mellom hybrid datasikkerhet, nettverk og en proxy. For proxy-alternativene for transparent inspeksjon og HTTPS-eksplisitt inspeksjonskontroll må det samme rotsertifikat installeres på proxyen og på Hybrid Data Security-nodene.
Blokkert ekstern DNS-oppløsningsmodus (eksplisitt proxy-konfigurasjoner)
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, hvis noden ikke kan spørre DNS-serverne, går den automatisk over i modus for blokkert ekstern DNS-oppløsning. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.
Krav for hybrid datasikkerhet
Lisenskrav for Cisco Webex
Slik distribuerer du hybrid datasikkerhet:
-
Du må ha Pro Pack for Cisco Webex Control Hub. (Sehttps://www.cisco.com/go/pro-pack .)
Krav til Docker-skrivebord
Før du installerer HDS-nodene, må du ha Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig lisensieringsmodellen. Organisasjonen din kan kreve et betalt abonnement for Docker Desktop. Hvis du vil ha mer informasjon, se Docker-blogginnlegget, " Docker oppdaterer og utvider produktabonnementene våre «.
Krav til X.509-sertifikater
sertifikatkjede må oppfylle følgende krav:
Krav |
Detaljer |
---|---|
|
Som standard klarerer vi sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) påhttps://wiki.mozilla.org/CA:IncludedCAs . |
|
CN-en trenger ikke å være tilgjengelig eller være en direktevert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel CN kan ikke inneholde en * (jokertegn). CN brukes til å bekrefte hybriddatasikkerhetsnodene til Webex App-klienter. Alle hybriddatasikkerhetsnodene i klyngen bruker det samme sertifikatet. KMS-en din identifiserer seg ved hjelp av CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene. Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN- domenenavn. Velg et domene som kan gjelde for både prøveversjonen og produksjonsdistribusjonene. |
|
KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjoners KMS-er. |
|
Du kan bruke et konverteringsprogram som OpenSSL til å endre sertifikatets format. Du må angi passordet når du kjører HDS-installasjonsverktøyet. |
KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifiseringsinstanser krever at utvidede begrensninger for nøkkelbruk brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.
Krav til virtuell vert
De virtuelle vertene som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen, har følgende krav:
-
Minst to separate verter (tre anbefales) plassert i det samme sikre datasenter
-
VMware ESXi 6.5 (eller nyere) er installert og kjører.
Du må oppgradere hvis du har en tidligere versjon av ESXi.
-
Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokal harddiskplass per server
Krav til databaseserver
Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene, når de er installert, oppretter databaseskjemaet. |
Det finnes to alternativer for databaseserver. Kravene for hver av dem er som følger:
PostgreSQL |
Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) |
Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) |
HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserver:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC-driver 42.2.5 |
SQL Server JDBC-driver 4.6 Denne driverversjonen støtter SQL Server Always On ( Alltid på failover-klyngeforekomster og Alltid på tilgjengelighetsgrupper ). |
Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server
Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:
-
HDS-nodene, Active Directory -infrastrukturen og MS SQL Server må alle være synkronisert med NTP.
-
Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.
-
DNS-serverne du oppgir til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).
-
Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et Service Principal Name (SPN) i Active Directory. Se Registrer et hovednavn for tjeneste for Kerberos Connections .
HDS-oppsettverktøyet, HDS-startprogrammet og lokal KMS må alle bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN når de ber om tilgang med Kerberos-autentisering.
Krav til ekstern tilkobling
Konfigurer brannmuren til å tillate følgende tilkoblingsmuligheter for HDS-programmene:
Søknad |
Protokoll |
Port |
Veibeskrivelse fra app |
Destinasjon |
---|---|---|---|---|
Hybride datasikkerhetsnoder |
TCP |
443 |
Utgående HTTPS og WSS |
|
HDS-oppsettverktøy |
TCP |
443 |
Utgående HTTPS |
|
Hybrid Data Security-nodene fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmur tillater de nødvendige utgående tilkoblingene til domenemålene i den foregående tabellen. For tilkoblinger som går inn til Hybrid Data Security-nodene, skal ingen porter være synlige fra Internett. I datasenter ditt trenger klienter tilgang til hybriddatasikkerhetsnodene på TCP-portene 443 og 22 til administrative formål. |
URL-adressene for CI-vertene (Common Identity) er regionsspesifikke. Dette er de nåværende CI-vertene:
Region |
Felles URL-adresser for vertsidentitet |
---|---|
Amerika |
|
Den europeiske union |
|
Canada |
|
Krav til proxy-server
-
Vi støtter offisielt følgende proxy-løsninger som kan integreres med Hybrid Data Security-nodene dine.
-
Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).
-
Eksplisitt proxy – blekksprut.
Squid-proxyer som inspiserer HTTPS-trafikk, kan forstyrre etableringen av websocket-tilkoblinger (wss:). Hvis du vil omgå dette problemet, kan du se Konfigurer Squid-proxyer for hybrid datasikkerhet .
-
-
Vi støtter følgende kombinasjoner av godkjenningstype for eksplisitte proxyer:
-
Ingen autentisering med HTTP eller HTTPS
-
Grunnleggende autentisering med HTTP eller HTTPS
-
Sammendragsgodkjenning kun med HTTPS
-
-
For en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne veiledningen forteller deg hvordan du laster opp kopien til klareringslager for Hybrid Data Security-nodene.
-
Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.
-
Proxyer som inspiserer nettrafikk, kan forstyrre nettsocket-tilkoblinger. Hvis dette problemet oppstår, kan du omgå (ikke inspisere) trafikk til
wbx2.com
ogciscospark.com
vil løse problemet.
Fullfør forutsetningene for hybrid datasikkerhet
1 |
Kontroller at Webex-organisasjonen din er aktivert for Pro Pack for Cisco Webex Control Hub, og få legitimasjonen til en konto med fulle administrator . Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen. | ||
2 |
Velg et domenenavn for HDS-distribusjonen (for eksempel | ||
3 |
Klargjør identiske virtuelle verter som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen. Du trenger minst to separate verter (tre anbefales) plassert i det samme sikre datasenter, som oppfyller kravene i Krav til virtuell vert . | ||
4 |
Klargjør databaseserver som skal fungere som datalager for klyngen, i henhold til Krav til databaseserver . databaseserver må være lokalisert i det sikre datasenter med de virtuelle vertene. | ||
5 |
Hvis du vil ha rask gjenoppretting ved katastrofegjenoppretting, konfigurerer du et sikkerhetskopimiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet for virtuelle datamaskiner og en databaseserver. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. | ||
6 |
Konfigurer en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadresse og syslog-porten (standard er UDP 514). | ||
7 |
Opprett en sikker sikkerhetskopieringspolicy for Hybrid Data Security-nodene, databaseserver og syslog-verten. For å forhindre tap av ugjenopprettelig data må du som et minimum sikkerhetskopiere databasen og ISO-konfigurasjonsfilen som er generert for Hybrid Data Security-nodene.
Webex App-klienter hurtigbufrer nøklene sine, så et driftsbrudd vil kanskje ikke merkes umiddelbart, men vil bli tydelig over tid. Selv om midlertidige strømbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopier tilgjengelig) av enten databasen eller ISO-konfigurasjonsfilen vil imidlertid føre til kundedata som ikke kan gjenopprettes. Operatørene av Hybrid Data Security-nodene forventes å opprettholde hyppige sikkerhetskopier av databasen og ISO-konfigurasjonsfilen, og være forberedt på å gjenoppbygge Hybrid Data Security datasenter hvis det oppstår en katastrofal feil. | ||
8 |
Kontroller at brannmurkonfigurasjonen tillater tilkobling for Hybrid Data Security-nodene som angitt i Krav til ekstern tilkobling . | ||
9 |
Installer Docker (https://www.docker.com ) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til den påhttp://127.0.0.1:8080. Du bruker Docker-forekomsten til å laste ned og kjøre installasjonsverktøyet for HDS, som bygger den lokale konfigurasjonsinformasjon for alle Hybrid Data Security-nodene. Organisasjonen din kan trenge en Docker Desktop-lisens. Se Krav til Docker-skrivebord hvis du vil ha mer informasjon. Hvis du vil installere og kjøre HDS-installasjonsverktøyet, må den lokale maskinen ha tilkoblingsmulighetene som er angitt i Krav til ekstern tilkobling . | ||
10 |
Hvis du integrerer en proxy med Hybrid Data Security, må du kontrollere at den oppfyller Krav til proxy-server . | ||
11 |
Hvis organisasjonen din bruker katalogsynkronisering, oppretter du en gruppe i Active Directory som heter
|
Oppgaveflyt for distribusjon av hybrid datasikkerhet
Før du begynner
1 |
Last ned OVA-filen til din lokale maskin for senere bruk. | ||
2 |
Opprett en konfigurasjons-ISO for HDS-vertene Bruk HDS-oppsettverktøyet til å opprette en ISO konfigurasjonsfil for hybriddatasikkerhetsnodene. | ||
3 |
Opprett en virtuell maskin fra OVA-filen og utfør den første konfigurasjonen, for eksempel nettverksinnstillinger.
| ||
4 |
Konfigurer den virtuelle hybriddatasikkerhetsmaskinen Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon. | ||
5 |
Last opp og monter HDS-konfigurasjons-ISO Konfigurer den virtuelle maskinen fra ISO konfigurasjonsfil du opprettet med HDS-installasjonsverktøyet. | ||
6 |
Konfigurer HDS-noden for proxy-integrering Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du proxy-typen du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig. | ||
7 |
Registrer den første noden i klyngen Registrer den virtuelle maskinen med Cisco Webex skyen som en hybrid datasikkerhetsnode. | ||
8 |
Opprett og registrer flere noder Fullfør klyngeoppsettet. | ||
9 |
Kjør en prøveversjon og gå til produksjon (neste kapittel) Frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert. |
Last ned installasjonsfiler
1 |
Logg påhttps://admin.webex.com , og klikk deretter Tjenester . | ||||
2 |
Finn Hybrid Data Security-kortet under Hybridtjenester, og klikk deretter på Konfigurer . Hvis kortet er deaktivert eller du ikke ser det, kontakter du kontoteamet ditt eller partnerorganisasjonen din. Gi dem kontonummeret ditt, og be om å aktivere organisasjonen din for Hybrid Data Security. Hvis du vil finne kontonummeret, klikker du på tannhjulet øverst til høyre, ved siden av organisasjonsnavnet.
| ||||
3 |
Velg Nei for å indikere at du ikke har satt opp noden ennå, og klikk deretter på Neste . Nedlastingen av OVA-filen begynner automatisk. Lagre filen et sted på maskinen.
| ||||
4 |
Du kan også klikke på Åpne Distribusjonsveiledning for å sjekke om det finnes en nyere versjon av denne veiledningen. |
Opprett en konfigurasjons-ISO for HDS-vertene
Konfigurasjonsprosessen for Hybrid Data Security oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere Hybrid Data Security-verten.
Før du begynner
-
HDS-installasjonsverktøyet kjøres som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariabler når du henter frem Docker-beholderen i trinn 5 . Denne tabellen gir noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_ AGENT_ HTTP_ PROXY=http://SERVER_ IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_ AGENT_ HTTPS_ PROXY=http://SERVER_ IP:PORT
HTTP-proxy med autentisering
GLOBAL_ AGENT_ HTTP_ PROXY=http://BRUKERNAVN:PASSORD@SERVER_ IP:PORT
HTTPS-proxy med autentisering
GLOBAL_ AGENT_ HTTPS_ PROXY=http://BRUKERNAVN:PASSORD@SERVER_ IP:PORT
-
ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen når du gjør konfigurasjonsendringer, for eksempel disse:
-
Databaselegitimasjon
-
Sertifikatoppdateringer
-
Endringer i retningslinjene for autorisasjon
-
-
Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du PostgreSQL- eller SQL Server-distribusjonen for TLS.
1 |
På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt: I vanlige miljøer: I FedRAMP-miljøer:
| ||||||||||||
2 |
Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende: | ||||||||||||
3 |
Når du blir bedt om passord, skriver du inn denne hashen: | ||||||||||||
4 |
Last ned det nyeste stabile bildet for miljøet ditt: I vanlige miljøer: I FedRAMP-miljøer: | ||||||||||||
5 |
Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:
Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080». | ||||||||||||
6 |
Bruk en nettleser til å gå til den lokale verten, Verktøyet bruker denne første oppføringen i brukernavnet til å angi riktig miljø for den kontoen. Verktøyet viser deretter standard påloggingsmelding. | ||||||||||||
7 |
Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Control Hub-kundeadministratoren, og klikker deretter på Logg inn for å gi tilgang til de nødvendige tjenestene for Hybrid Data Security. | ||||||||||||
8 |
På oversiktssiden for installasjonsverktøy klikker du på Kom i gang . | ||||||||||||
9 |
På ISO-import side, har du disse alternativene:
| ||||||||||||
10 |
Kontroller at X.509-sertifikatet oppfyller kravene i Krav til X.509-sertifikater .
| ||||||||||||
11 |
Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret: | ||||||||||||
12 |
Velg en Tilkoblingsmodus for TLS-database :
Når du laster opp rotsertifikat (om nødvendig), og klikker Fortsett tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserver. Verktøyet bekrefter også sertifikatunderskriveren og vertsnavnet, hvis det er aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan det hende at HDS-nodene kan opprette TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.) | ||||||||||||
13 |
Konfigurer Syslogd-serveren på siden Systemlogger: | ||||||||||||
14 |
(Valgfritt) Du kan endre standardverdi for noen databasetilkoblingsparametere i Avanserte innstillinger . Vanligvis er denne parameteren den eneste du kanskje vil endre: | ||||||||||||
15 |
Klikk på Fortsett på Tilbakestill passordet for tjenestekontoer skjermen. Passord for tjenestekontoer har en levetid på ni måneder. Bruk denne skjermen når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem for å ugyldiggjøre tidligere ISO-filer. | ||||||||||||
16 |
Klikk på Last ned ISO-fil . Lagre filen på et sted som er lett å finne. | ||||||||||||
17 |
Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||||||||||||
18 |
Hvis du vil avslutte installasjonsverktøyet, skriver du |
Hva du skal gjøre videre
Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.
Vi har aldri en kopi av denne nøkkelen, og kan ikke hjelpe hvis du mister den. |
Installer HDS Host OVA
1 |
Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten. | ||||||
2 |
Velg Fil > Distribuer OVF-mal . | ||||||
3 |
Angi plasseringen av OVA-filen du lastet ned tidligere i veiviseren, og klikk deretter på Neste . | ||||||
4 |
På Velg et navn og en mappe side, skriver du inn en Navn på virtuell maskin for noden (for eksempel «HDS_ Node_ 1"), velg et sted der nodedistribusjonen for den virtuell maskin kan ligge, og klikk deretter Neste . | ||||||
5 |
På Velg en databehandlingsressurs -siden, velg måldataressursen, og klikk deretter Neste . Det kjøres en valideringskontroll. Når den er fullført, vises maldetaljene. | ||||||
6 |
Kontroller maldetaljene, og klikk deretter på Neste . | ||||||
7 |
Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon side, klikk 4 CPUer og klikk deretter Neste . | ||||||
8 |
På Velg lagring side, klikk Neste for å godta standard diskformat og retningslinjer for VM-lagring. | ||||||
9 |
På Velg nettverk -siden, velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til den virtuelle maskinen. | ||||||
10 |
På Tilpass mal side, konfigurerer du følgende nettverksinnstillinger:
Hvis du foretrekker det, kan du hoppe over konfigurasjonen av nettverksinnstillinger og følge trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen for å konfigurere innstillingene fra nodekonsollen.
| ||||||
11 |
Høyreklikk på den virtuelle noden, og velg deretter .Hybrid Data Security-programvaren installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden. Feilsøkingstips Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen ved første oppstart, der du ikke kan logge på. |
Konfigurer den virtuelle hybriddatasikkerhetsmaskinen
Bruk denne fremgangsmåten til å logge på VM-konsollen for Hybrid Data Security-noden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.
1 |
I VMware vSphere-klienten velger du den virtuelle hybriddatasikkerhetsnoden og velger Konsoll -fanen. Den virtuelle maskinen starter opp, og det vises en påloggingsmelding. Hvis påloggingsmeldingen ikke vises, trykker du på Gå inn .
|
2 |
Bruk følgende standard påloggingsinformasjon og passord for å logge på og endre legitimasjonen: Siden du logger på den virtuelle maskinen for første gang, må du endre administrator . |
3 |
Hvis du allerede har konfigurert nettverksinnstillinger i Installer HDS Host OVA , hopper du over resten av denne prosedyren. Ellers velger du på hovedmeny Rediger konfigurasjon alternativet. |
4 |
Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke. |
5 |
(Valgfritt) Endre vertsnavnet, domenet eller NTP-server(e) om nødvendig for å samsvare med nettverkspolicyen din. Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet. |
6 |
Lagre nettverkskonfigurasjon og start den virtuelle maskinen på nytt slik at endringene trer i kraft. |
Last opp og monter HDS-konfigurasjons-ISO
Før du begynner
Siden ISO-filen inneholder hovednøkkelen, bør den bare vises på en «trenger å vite»-basis, for tilgang for de virtuelle hybriddatasikkerhets-ene og alle administratorer som måtte trenge å gjøre endringer. Kontroller at bare disse administratorene har tilgang til datalageret.
1 |
Last opp ISO-filen fra datamaskinen: |
2 |
Monter ISO-filen: |
Hva du skal gjøre videre
Hvis IT-retningslinjene krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene dine har registrert konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.
Konfigurer HDS-noden for proxy-integrering
Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med Hybrid Data Security. Hvis du velger en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikat. Du kan også kontrollere proxy-tilkoblingen fra grensesnittet og feilsøke potensielle problemer.
Før du begynner
-
Se Proxy-støtte for en oversikt over proxy-alternativene som støttes.
1 |
Angi URL-adressen til oppsett av HDS-node |
2 |
Gå til Trust Store og proxy , og velg deretter et alternativ:
Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en HTTP-eksplisitt proxy med grunnleggende autentisering eller en eksplisitt HTTPS-proxy. |
3 |
Klikk på Last opp et rotsertifikat eller et sluttenhetssertifikat , og gå deretter til et velg rotsertifikat for proxyen. Sertifikatet er lastet opp, men ikke installert ennå fordi du må starte noden på nytt for å installere sertifikatet. Klikk på markeringspilen ved sertifikatutstederens navn for å få mer informasjon, eller klikk Slett hvis du gjorde en feil og vil laste opp filen på nytt. |
4 |
Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkobling mellom noden og proxyen. Hvis tilkoblingstesten mislykkes, ser du en feilmelding som viser årsaken og hvordan du kan løse problemet. Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-server. Denne tilstanden forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene, og deretter ser du Slå av blokkert ekstern DNS-oppløsningsmodus . |
5 |
Når tilkoblingstesten er bestått, for eksplisitt proxy satt til bare https, slår du bryteren på til Rut alle https-forespørsler fra port 443/444 fra denne noden gjennom den eksplisitte proxyen . Det tar 15 sekunder før denne innstillingen trer i kraft. |
6 |
Klikk på Installer alle sertifikater i Trust Store (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en eksplisitt HTTP-proxy), les ledeteksten, og klikk deretter Installer hvis du er klar. Noden starter på nytt innen noen få minutter. |
7 |
Når noden har startet på nytt, logger du på igjen om nødvendig, og åpner deretter Oversikt for å kontrollere tilkoblingskontrollene for å sikre at alle har grønn status. Proxy-tilkoblingskontrollen tester bare et underdomene til webex.com. Hvis det er tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsveiledningen, blokkeres på proxyen. |
Registrer den første noden i klyngen
Når du registrerer den første noden, oppretter du en klynge som noden er tilordnet. En klynge inneholder én eller flere noder distribuert for å gi redundans.
Før du begynner
-
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
-
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 |
Logg påhttps://admin.webex.com . |
2 |
Fra menyen på venstre side av skjermen velger du Tjenester . |
3 |
I delen Hybridtjenester finner du Hybrid Data Security og klikker på Konfigurer . Siden Registrer hybrid node for datasikkerhet vises.
|
4 |
Velg Ja for å indikere at du har satt opp noden og er klar til å registrere den, og klikk deretter på Neste . |
5 |
I det første feltet skriver du inn et navn på klyngen du vil tilordne Hybrid Data Security-noden til. Vi anbefaler at du gir navn til en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: «San Francisco» eller «New York» eller «Dallas» |
6 |
I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste . Denne IP-adresse eller FQDN må samsvare med IP-adresse eller vertsnavnet og domenet du brukte i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . Det vises en melding som angir at du kan registrere noden til Webex.
|
7 |
Klikk på Gå til Node . |
8 |
Klikk på Fortsett i advarselsmelding. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til Webex-organisasjonen din for å få tilgang til noden.
|
9 |
Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett . Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
|
10 |
Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden. På Hybrid datasikkerhet side, vises den nye klyngen som inneholder noden du registrerte. Noden vil automatisk laste ned den nyeste programvaren fra skyen.
|
Opprett og registrer flere noder
På dette tidspunktet er de virtuelle sikkerhetskopiene-ene du opprettet i Fullfør forutsetningene for hybrid datasikkerhet er standby-verter som bare brukes i tilfelle katastrofegjenoppretting; de er ikke registrert i systemet før da. Hvis du vil ha mer informasjon, se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus . |
Før du begynner
-
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
-
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 |
Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA . |
2 |
Konfigurer den første konfigurasjonen på den nye virtuelle maskinen, og gjenta trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . |
3 |
Gjenta trinnene i den nye VM-en Last opp og monter HDS-konfigurasjons-ISO . |
4 |
Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrering etter behov for den nye noden. |
5 |
Registrer noden. Noden din er registrert. Merk at frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.
|
Hva du skal gjøre videre
Oppgaveflyt fra prøveversjon til produksjon
Når du har konfigurert en Hybrid Data Security-klynge, kan du starte en pilot, legge til brukere i den og begynne å bruke den til testing og bekreftelse av distribusjonen som forberedelse til overgang til produksjon.
Før du begynner
1 |
Hvis det er aktuelt, synkroniserer du Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge |
2 |
Start en prøveversjon. Frem til du gjør denne oppgaven, genererer nodene en alarm som indikerer at tjenesten ennå ikke er aktivert. |
3 |
Test hybriddistribusjonen av datasikkerhet Kontroller at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen. |
4 |
Overvåke helse for hybrid datasikkerhet Sjekk status, og konfigurer e-postvarsler for alarmer. |
5 | |
6 |
Fullfør prøveperioden med én av følgende handlinger: |
Aktiver prøveversjon
Før du begynner
Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup
gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.
1 |
Logg påhttps://admin.webex.com , og velg deretter Tjenester . |
2 |
Under Hybrid Data Security klikker du på Innstillinger . |
3 |
I delen Tjenestestatus klikker du på Start prøveversjonen . Tjenestestatusen endres til prøveversjonsmodus.
|
4 |
Klikk på Legg til brukere og angi e-postadresse til én eller flere brukere for å prøve å bruke Hybrid Data Security-nodene for kryptering og indekseringstjenester. (Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory til å administrere prøvegruppen, |
Test hybriddistribusjonen av datasikkerhet
Før du begynner
-
Konfigurer Hybrid Data Security-distribusjonen.
-
Aktiver prøveversjonen, og legg til flere prøveversjonsbrukere.
-
Kontroller at du har tilgang til syslog for å bekrefte at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.
1 |
Taster for et gitt område angis av oppretteren av området. Logg på Webex-appen som én av pilotbrukerne, og opprett deretter et område og inviter minst én pilotbruker og én ikke-pilotbruker.
| ||
2 |
Send meldinger til det nye området. | ||
3 |
Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til Hybrid Data Security-distribusjonen. |
Overvåke helse for hybrid datasikkerhet
1 |
I Kontrollhub , velger du Tjenester fra menyen på venstre side av skjermen. |
2 |
I delen Hybridtjenester finner du Hybrid Data Security og klikker på Innstillinger . Siden Innstillinger for hybrid datasikkerhet vises.
|
3 |
I delen E-postvarsler skriver du inn én eller flere e-postadresser atskilt med komma, og trykker på Gå inn . |
Legg til eller fjern brukere fra prøveversjonen
Hvis du fjerner en bruker fra prøveversjonen, vil brukerens klient be om å opprette nøkler og nøkler fra KMS-skyen i stedet for KMS-en din. Hvis klienten trenger en nøkkel som er lagret på KMS-en, vil KMS-en i skyen hente den på brukerens vegne.
Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory (i stedet for denne prosedyren) til å administrere prøvegruppen, HdsTrialGroup
; du kan vise gruppemedlemmene i Control Hub, men kan ikke legge til eller fjerne dem.
1 |
Logg på Control Hub, og velg deretter Tjenester . |
2 |
Under Hybrid Data Security klikker du på Innstillinger . |
3 |
I delen Prøvemodus i området Tjenestestatus klikker du på Legg til brukere , eller klikk vise og redigere for å fjerne brukere fra prøveversjonen. |
4 |
Skriv inn e-postadresse til én eller flere brukere som skal legges til, eller klikk på X av en bruker-ID for å fjerne brukeren fra prøveversjonen. Klikk deretter på Lagre . |
Gå fra prøveversjon til produksjon
1 |
Logg på Control Hub, og velg deretter Tjenester . |
2 |
Under Hybrid Data Security klikker du på Innstillinger . |
3 |
I delen Tjenestestatus klikker du på Flytt til produksjon . |
4 |
Bekreft at du vil flytte alle brukerne til produksjon. |
Avslutt prøveversjonen uten å gå til produksjon
1 |
Logg på Control Hub, og velg deretter Tjenester . |
2 |
Under Hybrid Data Security klikker du på Innstillinger . |
3 |
I Deaktiver-delen klikker du på Deaktiver . |
4 |
Bekreft at du vil deaktivere tjenesten og avslutte prøveversjonen. |
Behandle HDS-distribusjon
Bruk oppgavene som er beskrevet her, til å administrere Hybrid Data Security-distribusjonen.
Angi tidsplan for klyngeoppgradering
Slik angir du oppgraderingsplanen:
1 |
Logg på Control Hub. |
2 |
På Oversikt-siden, under Hybridtjenester, velger du Hybrid datasikkerhet . |
3 |
Velg klyngen på siden Hybriddatasikkerhetsressurser. |
4 |
I Oversikt-panelet til høyre, under Klyngeinnstillinger, velger du klyngenavnet. |
5 |
På Innstillinger-siden, under Oppgradering, velger du tid og tidssone for oppgraderingsplanen. Merk: : Under tidssone vises dato og klokkeslett for neste tilgjengelige oppgradering. Du kan om nødvendig utsette oppgraderingen til neste dag ved å klikke på Utsette . |
Endre nodekonfigurasjonen
-
Endring av x.509-sertifikater på grunn av utløpsdato eller andre årsaker.
Vi støtter ikke endring av CN- domenenavn for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.
-
Oppdaterer databaseinnstillinger for å endre til en replika av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt vei. Hvis du vil bytte databasemiljø, starter du en ny distribusjon av Hybrid Data Security.
-
Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.
Av sikkerhetshensyn bruker Hybrid Data Security også passord for tjenestekonto som har en levetid på ni måneder. Når HDS-installasjonsverktøyet genererer disse passordene, distribuerer du dem til hver av HDS-nodene i ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløpsdato, mottar du et varsel fra Webex-teamet om å tilbakestille passordet for maskinkontoen din. (E-posten inneholder teksten «Bruk maskinkontoens API til å oppdatere passordet.») Hvis passordene ikke er utløpt ennå, gir verktøyet deg to alternativer:
-
Myk tilbakestilling – Det gamle og det nye passordet fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.
-
Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.
Hvis passordene dine utløper uten en tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.
Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.
Før du begynner
-
HDS-installasjonsverktøyet kjøres som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du henter opp Docker-beholderen i 1.e . Denne tabellen gir noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_ AGENT_ HTTP_ PROXY=http://SERVER_ IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_ AGENT_ HTTPS_ PROXY=http://SERVER_ IP:PORT
HTTP-proxy med autentisering
GLOBAL_ AGENT_ HTTP_ PROXY=http://BRUKERNAVN:PASSORD@SERVER_ IP:PORT
HTTPS-proxy med autentisering
GLOBAL_ AGENT_ HTTPS_ PROXY=http://BRUKERNAVN:PASSORD@SERVER_ IP:PORT
-
Du trenger en kopi av den gjeldende ISO-filen for konfigurasjon for å generere en ny konfigurasjon. ISO-en inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO-en når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i autorisasjonspolicy.
1 |
Bruk Docker på en lokal maskin, kjør installasjonsverktøyet for HDS. |
2 |
Hvis du bare har én HDS-node som kjører , oppretter du en ny virtuell maskin for hybrid datasikkerhetsnode og registrerer den ved hjelp av den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, se Opprett og registrer flere noder . |
3 |
For eksisterende HDS-noder som kjører den eldre konfigurasjonsfil, monterer du ISO-filen. Utfør følgende prosedyre på hver node etter tur, og oppdater hver node før du slår av neste node: |
4 |
Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen. |
Slå av blokkert ekstern DNS-oppløsningsmodus
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk i modus for blokkert ekstern DNS-oppløsning.
Hvis nodene dine kan løse offentlige DNS-navn via interne DNS-servere, kan du slå av denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.
Før du begynner
1 |
I en nettleser åpner du grensesnittet for Hybrid Data Security-node (IP-adresse/oppsett, for eksempel,https://192.0.2.0/setup), angi administratorlegitimasjonen du konfigurerte for noden, og klikk deretter Logg på . |
2 |
Gå til Oversikt (standardsiden). Når den er aktivert, Blokkert ekstern DNS-oppløsning er satt til Ja . |
3 |
Gå til Trust Store og proxy side. |
4 |
Klikk på Kontroller proxy-tilkobling . Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-server og forbli i denne modusen. Ellers, etter at du har startet noden på nytt og går tilbake til Oversikt side, skal Blokkert ekstern DNS-oppløsning settes til nei. |
Hva du skal gjøre videre
Fjerne en node
1 |
Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuell maskin. |
2 |
Fjern noden: |
3 |
Slett den virtuelle maskinen i vSphere-klienten. (I venstre navigasjonsrute høyreklikk du på den virtuelle maskinen og klikker Slett .) Hvis du ikke sletter den virtuelle maskinen, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke den virtuelle maskinen til å få tilgang til sikkerhetsdataene dine. |
Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus
Den mest kritiske tjenesten Hybrid Data Security-klyngen tilbyr, er opprettelse og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet Hybrid Data Security, rutes nye forespørsler om å opprette nøkkel til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til alle brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.
Siden klyngen utfører den kritiske funksjonen med å oppgi disse nøklene, er det viktig at klyngen fortsetter å kjøre og at forsvarlige sikkerhetskopier opprettholdes. Tap av Hybrid Data Security-databasen eller av ISO-konfigurasjonen som ble brukt for skjemaet, vil føre til TAP av kundeinnhold som ikke kan gjenopprettes. Følgende fremgangsmåter er obligatoriske for å forhindre slikt tap:
Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenter blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til datasenter i ventemodus.
1 |
Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene . | ||
2 |
Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 |
På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor eller fjerner
| ||
4 |
Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 |
Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 |
I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 |
Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 |
Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 |
Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva du skal gjøre videre
(Valgfritt) Avmonter ISO etter HDS-konfigurasjon
Standard HDS-konfigurasjonen kjører med ISO-en montert. Men noen kunder foretrekker å ikke la ISO-filer være kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-noder har plukket opp den nye konfigurasjonen.
Du bruker fortsatt ISO-filene til å gjøre konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO via installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene dine har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en på nytt med denne prosedyren.
Før du begynner
Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.
1 |
Avslutt én av HDS-nodene dine. |
2 |
I vCenter Server Appliance velger du HDS-noden. |
3 |
Velg ISO-fil for datalager . og fjern merket |
4 |
Slå på HDS-noden og kontroller at det ikke er noen alarmer på minst 20 minutter. |
5 |
Gjenta for hver HDS-node etter tur. |
Vis varsler og feilsøking
En Hybrid Data Security-distribusjon anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller hvis klyngen fungerer så sakte at forespørslene tidsavbrudd. Hvis brukere ikke kan nå Hybrid Data Security-klyngen, opplever de følgende symptomer:
-
Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)
-
Meldinger og områdetitler kan ikke dekrypteres for:
-
Nye brukere lagt til i et område (kan ikke hente nøkler)
-
Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)
-
-
Eksisterende brukere i et område fortsetter å kjøre så lenge klientene deres har en hurtigbuffer for krypteringsnøklene
Det er viktig at du overvåker Hybrid Data Security-klyngen på riktig måte og adresserer alle varsler umiddelbart for å unngå avbrudd i tjenesten.
Varsler
Hvis det er et problem med oppsettet av Hybrid Data Security, viser Control Hub varsler til administrator og sender e-postmeldinger til den konfigurerte e-postadresse. Varslene dekker mange vanlige scenarier.
Varsel |
Handling |
---|---|
Tilgangsfeil til lokal database. |
Se etter databasefeil eller problemer med det lokale nettverket. |
tilkoblingsfeil til lokal database. |
Kontroller at databaseserver er tilgjengelig, og at riktig påloggingsinformasjon for tjenestekonto ble brukt i nodekonfigurasjonen. |
Tilgangsfeil for skytjeneste. |
Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling . |
Fornyer registrering av skytjeneste. |
Registrering for skytjenester ble avbrutt. Fornyelse av registrering pågår. |
Registrering av skytjeneste ble avbrutt. |
Registreringen til skytjenester ble avsluttet. Tjenesten avsluttes. |
Tjenesten ikke aktivert ennå. |
Aktiver en prøveversjon, eller fullfør flyttingen av prøveversjonen til produksjon. |
Det konfigurerte domenet samsvarer ikke med serversertifikat. |
Kontroller at serversertifikat samsvarer med det konfigurerte domenet for tjenesteaktivering. Den mest sannsynlige årsaken er at sertifikatet CN nylig ble endret og nå er forskjellig fra CN som ble brukt under det første oppsettet. |
Kunne ikke autentisere for skytjenester. |
Se etter nøyaktighet og mulig utløp av legitimasjon for tjenestekonto . |
Kunne ikke åpne den lokale nøkkellagerfilen. |
Se etter integritet og passordnøyaktighet i den lokale nøkkellagerfilen. |
Det lokale serversertifikat er ugyldig. |
Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans. |
Kan ikke legge inn beregninger. |
Sjekk lokal nettverkstilgang til eksterne skytjenester. |
Katalogen /media/configdrive/hds finnes ikke. |
Kontroller konfigurasjonen for ISO-montering på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å montere ved omstart, og at den er vellykket. |
Feilsøke hybrid datasikkerhet
1 |
Se gjennom Control Hub for å se eventuelle varsler, og reparer alle elementer du finner der. |
2 |
Se gjennom syslog-serverutdataene for aktivitet fra Hybrid Data Security-distribusjonen. |
3 |
Kontakt Cisco-støtte . |
Kjente problemer med hybrid datasikkerhet
-
Hvis du avslutter Hybrid Data Security-klyngen (ved å slette den i Control Hub eller ved å avslutte alle noder), mister ISO-konfigurasjonsfilen eller mister tilgangen til nøkkellagerdatabasen, kan brukerne av Webex-appen ikke lenger bruke områder under Personene sine liste som ble opprettet med nøkler fra KMS. Dette gjelder både prøveversjon og produksjonsdistribusjoner. Vi har for øyeblikket ingen løsning eller løsning for dette problemet, og vi ber deg innstendig om ikke å avslutte HDS-tjenestene dine når de håndterer aktive brukerkontoer.
-
En klient som har en eksisterende ECDH-tilkobling til en KMS, opprettholder denne tilkoblingen i en periode (sannsynligvis én time). Når en bruker blir medlem av en prøveversjon av Hybrid Data Security, fortsetter brukerens klient å bruke den eksisterende ECDH-tilkoblingen frem til tidsavbrudd. Alternativt kan brukeren logge av og på igjen Webex-appen for å oppdatere plasseringen appen kontakter for krypteringsnøkler.
Den samme virkemåten oppstår når du flytter en prøveversjon til produksjon for organisasjonen. Alle ikke-prøvebrukere med eksisterende ECDH-tilkoblinger til de tidligere datasikkerhetstjenestene vil fortsette å bruke disse tjenestene til ECDH-tilkoblingen reforhandles (gjennom tidsavbrudd eller ved å logge av og på igjen).
Bruk OpenSSL til å generere en PKCS12-fil
Før du begynner
-
OpenSSL er ett verktøy som kan brukes til å gjøre PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi hverken støtter eller promoterer én måte fremfor en annen.
-
Hvis du velger å bruke OpenSSL, tilbyr vi denne fremgangsmåten som en retningslinje for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i Krav til X.509-sertifikater . Forstå disse kravene før du fortsetter.
-
Installer OpenSSL i et støttet miljø. Sehttps://www.openssl.org for programvaren og dokumentasjonen.
-
Opprett en privat nøkkel.
-
Start denne prosedyren når du mottar serversertifikat fra sertifiseringsinstans (CA).
1 |
Når du mottar serversertifikat fra CA, lagrer du det som |
2 |
Vis sertifikatet som tekst, og bekreft detaljene.
|
3 |
Bruk et tekstredigeringsprogram til å opprette en sertifikatpakkefil kalt
|
4 |
Opprett .p12-filen med det vennlige navnet
|
5 |
Kontroller serversertifikat . |
Hva du skal gjøre videre
Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet . Du vil bruke hdsnode.p12
filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-vertene .
Du kan bruke disse filene på nytt til å be om et nytt sertifikat når det opprinnelige sertifikatet utløper. |
Trafikk mellom HDS-nodene og skyen
Utgående trafikk for innsamling av beregninger
Hybriddatasikkerhetsnodene sender bestemte beregninger til Webex-skyen. Disse inkluderer systemmålinger for maks. haug, brukt haug, CPU-belastning og antall tråder. målinger for synkrone og asynkrone tråder; målinger for varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller en forespørselskølengde; målinger på datalageret; og måleverdier for krypteringstilkobling. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).
Innkommende trafikk
Hybriddatasikkerhetsnodene mottar følgende typer innkommende trafikk fra Webex-skyen:
-
Krypteringsforespørsler fra klienter, som rutes av krypteringstjenesten
-
Oppgraderinger til nodeprogramvaren
Konfigurer Squid-proxyer for hybrid datasikkerhet
Websocket kan ikke koble til via Squid Proxy
Squid-proxyer som inspiserer HTTPS-trafikk, kan forstyrre etableringen av websocket ( wss:
)-tilkoblinger som Hybrid Data Security krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss:
trafikk for riktig drift av tjenestene.
Squid 4 og 5
Legg tilon_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel alle
Blekksprut 3.5.27
Vi testet Hybrid Data Security med følgende regler lagt til squid.conf
. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex kvikksølv-tilkoblingssl_bump skjøte wssMercuryConnection acl trinn1at_step SslBump1 acl trinn2at_step SslBump2 acl trinn3at_step SslBump3ssl_bump titt trinn 1 allessl_bump stirre trinn 2 allessl_bump bump step3 all
Ny og endret informasjon
Dato | Endringer gjort | ||
---|---|---|---|
20. oktober 2023 |
| ||
7. august 2023 |
| ||
23. mai 2023 |
| ||
6. desember 2022 |
| ||
23. november 2022 |
| ||
13. oktober 2021 | Docker Desktop må kjøre et installasjonsprogram før du kan installere HDS-noder. Se Krav til Docker-skrivebord . | ||
24. juni 2021 | Merk at du kan bruke den private nøkkelfilen og CSR-en på nytt for å be om et annet sertifikat. Se Bruk OpenSSL til å generere en PKCS12-fil for detaljer. | ||
30. april 2021 | Endret VM-kravet for lokal harddiskplass til 30 GB. Se Krav til virtuell vert for detaljer. | ||
24. februar 2021 | HDS-installasjonsverktøyet kan nå kjøres bak en proxy. Se Opprett en konfigurasjons-ISO for HDS-vertene for detaljer. | ||
2. februar 2021 | HDS kan nå kjøres uten en montert ISO-fil. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer. | ||
11. januar 2021 | Lagt til informasjon om HDS-oppsettverktøy og proxyer til Opprett en konfigurasjons-ISO for HDS-vertene . | ||
13. oktober 2020 | Oppdatert Last ned installasjonsfiler . | ||
8. oktober 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med kommandoer for FedRAMP-miljøer. | ||
14. august 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med endringer i påloggingsprosessen. | ||
5. august 2020 | Oppdatert Test hybriddistribusjonen av datasikkerhet for endringer i loggmeldinger. Oppdatert Krav til virtuell vert for å fjerne maksimalt antall verter. | ||
16. juni 2020 | Oppdatert Fjerne en node for endringer i Control Hub-grensesnittet. | ||
4. juni 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for endringer i de avanserte innstillingene du måtte angi. | ||
29. mai 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for å vise at du også kan bruke TLS med SQL Server-databaser, brukergrensesnittendringer og andre presiseringer. | ||
5. mai 2020 | Oppdatert Krav til virtuell vert for å vise nye krav til ESXi 6.5. | ||
21. april 2020 | Oppdatert Krav til ekstern tilkobling med nye Americas CI-verter. | ||
1. april 2020 | Oppdatert Krav til ekstern tilkobling med informasjon om regionale CI-verter. | ||
20. februar 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med informasjon om det nye, valgfrie skjermbildet for avanserte innstillinger i HDS-oppsettverktøyet. | ||
4. februar 2020 | Oppdatert Krav til proxy-server . | ||
16. desember 2019 | Klargjorde kravet om at blokkert ekstern DNS-oppløsningsmodus skal fungere i Krav til proxy-server . | ||
19. november 2019 | La til informasjon om blokkert ekstern DNS-oppløsningsmodus i følgende deler: | ||
8. november 2019 | Du kan nå konfigurere nettverksinnstillinger for en node mens du distribuerer OVA i stedet for etterpå. Oppdaterte følgende deler tilsvarende:
| ||
6. september 2019 | Lagt til SQL Server Standard i Krav til databaseserver . | ||
29. august 2019 | Lagt til Konfigurer Squid-proxyer for hybrid datasikkerhet vedlegg med veiledning om konfigurering av Squid-proxyer til å ignorere websocket-trafikk for riktig drift. | ||
20. august 2019 | Lagt til og oppdaterte deler for å dekke proxy-støtte for hybrid datasikkerhetsnodekommunikasjon til Webex-skyen. Hvis du bare vil ha tilgang til proxy-støtteinnholdet for en eksisterende distribusjon, kan du se Proxy-støtte for hybrid datasikkerhet og Webex-videonett hjelpeartikkel. | ||
13. juni 2019 | Oppdatert Oppgaveflyt fra prøveversjon til produksjon med en påminnelse om å synkronisere HdsTrialGroup gruppeobjekt før du starter en prøveversjon hvis organisasjonen bruker katalogsynkronisering. | ||
6. mars 2019 |
| ||
28. februar 2019 |
| ||
26. februar 2019 |
| ||
24. januar 2019 |
| ||
5. november 2018 |
| ||
19. oktober 2018 |
| ||
31. juli 2018 |
| ||
21. mai 2018 | Endret terminologi for å gjenspeile endringen av varemerke for Cisco Spark:
| ||
11. april 2018 |
| ||
22. februar 2018 |
| ||
15. februar 2018 |
| ||
18. januar 2018 |
| ||
2. november 2017 |
| ||
18. august 2017 | Først publisert |
Oversikt over hybrid datasikkerhet
Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er ende-til-ende-kryptering av innhold, aktivert av Webex App-klienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografinøklene som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.
Som standard får alle Webex App-kunder ende-til-ende-kryptering med dynamiske nøkler lagret i KMS-skyen, i Ciscos sikkerhetsområde. Hybrid datasikkerhet flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, slik at ingen andre enn deg har nøklene til ditt krypterte innhold.
Arkitektur for sikkerhetsriket
Webex-skyarkitekturen skiller forskjellige typer tjenester i separate områder, eller klareringsdomener, som vist nedenfor.
For å forstå Hybrid Data Security ytterligere, la oss først se på dette rene skysaken, der Cisco leverer alle funksjoner i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan korreleres direkte med personlig informasjon, for eksempel e-postadresse, er logisk og fysisk atskilt fra sikkerhetsområdet i datasenter B. Begge er igjen atskilt fra området der kryptert innhold til slutt lagres , i datasenter C.
I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og som er autentisert med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:
Klienten oppretter en sikker tilkobling med nøkkelbehandlingstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikker tilkobling bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en AES-256-hovednøkkel.
Meldingen krypteres før den forlater klienten. Klienten sender den til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe til med fremtidige søk etter innholdet.
Den krypterte meldingen sendes til samsvarstjenesten for samsvarskontroll.
Den krypterte meldingen lagres i lagringsområdet.
Når du distribuerer Hybrid Data Security, flytter du sikkerhetsområdets funksjoner (KMS, indeksering og samsvar) til det lokale datasenter. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos riker.
Samarbeide med andre organisasjoner
Brukere i organisasjonen din kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen (fordi det ble opprettet av en av brukerne), sender KMS-en nøkkelen til klienten over en ECDH-sikker kanal. Når en annen organisasjon eier nøkkelen for området, ruter KMS-en imidlertid forespørselen ut til Webex-skyen gjennom en egen ECDH-kanal for å hente nøkkelen fra riktig KMS, og returnerer deretter nøkkelen til brukeren på den opprinnelige kanalen.
KMS-tjenesten som kjøres på organisasjon A, validerer tilkoblingene til KMS-er i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet ditt for detaljer om generering av et x.509-sertifikat som skal brukes med Hybrid Data Security-distribusjonen.
Forventninger for distribusjon av hybrid datasikkerhet
En Hybrid Data Security-distribusjon krever betydelig kundeengasjement og en bevissthet om risikoene som følger med å eie krypteringsnøkler.
Hvis du vil distribuere Hybrid Data Security, må du oppgi:
Et sikkert datasenter i et land som er et støttet plassering for Cisco Webex Teams planene .
Utstyret, programvaren og nettverkstilgangen som er beskrevet i Forbered miljøet ditt .
Fullstendig tap av enten konfigurasjons-ISO-en du bygger for Hybrid Data Security eller databasen du oppgir, vil føre til tap av nøklene. Tap av nøkkel forhindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:
Behandle sikkerhetskopieringen og gjenopprettingen av databasen og konfigurasjonen av ISO.
Vær forberedt på å utføre rask gjenoppretting ved katastrofegjenoppretting hvis det oppstår en katastrofe, for eksempel en databasediskfeil eller en datasenter .
Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon. |
Konfigurasjonsprosess på høyt nivå
Dette dokumentet dekker oppsett og administrasjon av en Hybrid Data Security-distribusjon:
Konfigurer Hybrid Data Security – Dette inkluderer klargjøring av nødvendig infrastruktur og installasjon av Hybrid Data Security-programvare, testing av distribusjonen med et undersett av brukere i prøveversjonsmodus, og, når testingen er fullført, overgang til produksjon. Dette konverterer hele organisasjonen til å bruke Hybrid Data Security-klyngen for sikkerhetsfunksjoner.
Oppsett-, prøve- og produksjonsfasene dekkes i detalj i de neste tre kapitlene.
Vedlikeholde Hybrid Data Security-distribusjonen – Webex-skyen gir automatisk løpende oppgraderinger. IT-avdelingen din kan tilby nivå 1-støtte for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke skjermvarsler og konfigurere e-postbaserte varsler i Control Hub.
Forstå vanlige varsler, feilsøkingstrinn og kjente problemer –Hvis du får problemer med å distribuere eller bruke Hybrid Data Security, kan det siste kapitlet i denne veiledningen og tillegget Kjente problemer hjelpe deg med å finne ut og løse problemet.
Hybrid distribusjonsmodell for datasikkerhet
I foretningsdata distribuerer du Hybrid Data Security som én enkelt klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen gjennom sikre websockets og sikker HTTP.
Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere den virtuelle enheten på de virtuelle maskinene du oppgir. Du bruker installasjonsverktøyet for HDS til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Hybrid Data Security-klyngen bruker den medfølgende Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)
Det minste antallet noder du kan ha i en klynge, er to. Vi anbefaler minst tre, og du kan ha opptil fem. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)
Alle nodene i en klynge har tilgang til det samme nøkkeldatalageret og loggaktiviteten til den samme syslog-serveren. Nodene i seg selv er statsløse og håndterer nøkkelforespørsler på en roundrobin-måte, som anvist av skyen.
Nodene blir aktive når du registrerer dem i Control Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.
Vi støtter bare én klynge per organisasjon.
Prøveversjonsmodus for hybrid datasikkerhet
Etter at du har satt opp en Hybrid Data Security-distribusjon, kan du først prøve den med et sett med pilotbrukere. I løpet av prøveperioden bruker disse brukerne det lokale Hybrid Data Security-domenet ditt for krypteringsnøkler og andre sikkerhetstjenester. De andre brukerne dine fortsetter å bruke sikkerhetsområdet for skyen.
Hvis du bestemmer deg for ikke å fortsette med distribusjonen i løpet av prøveperioden og deaktivere tjenesten, mister pilotbrukerne og alle brukere de har samhandlet med ved å opprette nye områder i løpet av prøveperioden tilgangen til meldingene og innholdet. De vil se «Denne meldingen kan ikke dekrypteres» i Webex-appen.
Hvis du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, og du er klar til å utvide Hybrid Data Security til alle brukerne, flytter du distribusjonen til produksjon. Pilotbrukere fortsetter å ha tilgang til nøklene som var i bruk under prøveversjonen. Du kan imidlertid ikke gå frem og tilbake mellom produksjonsmodus og den opprinnelige prøveversjonen. Hvis du må deaktivere tjenesten, for eksempel for å utføre katastrofegjenoppretting, må du starte en ny prøveversjon og konfigurere settet med pilotbrukere for den nye prøveversjonen før du går tilbake til produksjonsmodus når du aktiverer den. Hvorvidt brukere beholder tilgangen til data på dette tidspunktet, avhenger av om du har vedlikeholdt sikkerhetskopier av datalager og ISO konfigurasjonsfil for Hybrid Data Security-nodene i klyngen.
Datasenter i ventemodus for katastrofegjenoppretting
Under distribusjonen konfigurerer du et sikkert datasenter i ventemodus . I tilfelle en datasenter , kan du feile distribusjonen manuelt over til datasenter i ventemodus .
Databasene til det aktive datasenteret og datasenteret i ventemodus er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover. ISO-filen til datasenter for ventemodus oppdateres med flere konfigurasjoner som sikrer at nodene registreres i organisasjonen, men ikke håndterer trafikk. Derfor forblir nodene i standby datasenter alltid oppdatert med den nyeste versjonen av HDS-programvaren.
De aktive hybriddatasikkerhetsnodene må alltid være i samme datasenter som den aktive databaseserver. |
Konfigurere datasenter i ventemodus for katastrofegjenoppretting
Følg trinnene nedenfor for å konfigurere ISO-filen for datasenter i ventemodus:
Før du starter
datasenter i ventemodus skal speile produksjonsmiljøet til virtuelle maskiner og en sikkerhetskopi av PostgreSQL- eller Microsoft SQL Server-database. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. (Se Datasenter i ventemodus for katastrofegjenoppretting for en oversikt over denne failover-modellen.)
Kontroller at databasesynkronisering er aktivert mellom databasen med aktive og passive klyngenoder.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .
| ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor for å plassere noden i passiv modus. I denne modusen vil noden være registrert i organisasjonen og koblet til skyen, men vil ikke håndtere trafikk.
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
Etter konfigurering passiveMode
i ISO-filen og lagrer den, kan du opprette en annen kopi av ISO-filen uten passiveMode
konfigurasjonen og lagre den på et sikkert sted. Denne kopien av ISO-filen uten passiveMode
konfigurert kan hjelpe i en rask failover-prosess under katastrofegjenoppretting. Se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus for den detaljerte failover-prosedyren.
Proxy-støtte
Hybriddatasikkerhet støtter eksplisitte, gjennomsiktige proxyer for inspeksjon og ikke-inspeksjon. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et grensesnitt for plattformadministrasjon på nodene for sertifikatadministrasjon og kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.
Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:
Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Klareringslager og proxy-konfigurasjon til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig ikke-inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse, og bør ikke trenge endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
Gjennomsiktig tunnelering eller inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjon er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de klarerer proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer om hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og hvilken godkjenningsplan som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon for hver node:
Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.
Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.
Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:
HTTP – Viser og kontrollerer alle forespørsler som klienten sender.
HTTPS – Gir en kanal til serveren. Klienten mottar og godkjenner serverens sertifikat.
Godkjenningstype – Velg blant følgende godkjenningstyper:
Ingen – Ingen ytterligere godkjenning er nødvendig.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Grunnleggende – Brukes for en HTTP-brukeragent til å angi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.
Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
Eksempel på noder og proxy for hybriddatasikkerhet
Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og HTTPS eksplisitt inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.
Blokkert ekstern DNS-oppløsningsmodus (eksplisitt proxy-konfigurasjoner)
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsningsmodus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.
Krav for hybrid datasikkerhet
Lisenskrav for Cisco Webex
Slik distribuerer du hybrid datasikkerhet:
Du må ha Pro Pack for Cisco Webex Control Hub. (Sehttps://www.cisco.com/go/pro-pack .)
Krav til Docker-skrivebord
Før du installerer HDS-nodene, må du ha Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig lisensieringsmodellen. Organisasjonen din kan kreve et betalt abonnement for Docker Desktop. Hvis du vil ha mer informasjon, se Docker-blogginnlegget, " Docker oppdaterer og utvider produktabonnementene våre «.
Krav til X.509-sertifikater
sertifikatkjede må oppfylle følgende krav:
Krav | Detaljer |
---|---|
| Som standard klarerer vi sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) påhttps://wiki.mozilla.org/CA:IncludedCAs . |
| CN-en trenger ikke å være tilgjengelig eller være en direktevert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel CN kan ikke inneholde en * (jokertegn). CN brukes til å bekrefte hybriddatasikkerhetsnodene til Webex App-klienter. Alle hybriddatasikkerhetsnodene i klyngen bruker det samme sertifikatet. KMS-en din identifiserer seg ved hjelp av CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene. Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN- domenenavn. Velg et domene som kan gjelde for både prøveversjonen og produksjonsdistribusjonene. |
| KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjoners KMS-er. |
| Du kan bruke et konverteringsprogram som OpenSSL til å endre sertifikatets format. Du må angi passordet når du kjører HDS-installasjonsverktøyet. |
KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifiseringsinstanser krever at utvidede begrensninger for nøkkelbruk brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.
Krav til virtuell vert
De virtuelle vertene som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen, har følgende krav:
Minst to separate verter (tre anbefales) plassert i det samme sikre datasenter
VMware ESXi 6.5 (eller nyere) er installert og kjører.
Du må oppgradere hvis du har en tidligere versjon av ESXi.
Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokal harddiskplass per server
Krav til databaseserver
Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene, når de er installert, oppretter databaseskjemaet. |
Det finnes to alternativer for databaseserver. Kravene for hver av dem er som følger:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) | Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) |
HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserver:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC-driver 42.2.5 | SQL Server JDBC-driver 4.6 Denne driverversjonen støtter SQL Server Always On ( Alltid på failover-klyngeforekomster og Alltid på tilgjengelighetsgrupper ). |
Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server
Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:
HDS-nodene, Active Directory -infrastrukturen og MS SQL Server må alle være synkronisert med NTP.
Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.
DNS-serverne du oppgir til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).
Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et Service Principal Name (SPN) i Active Directory. Se Registrer et hovednavn for tjeneste for Kerberos Connections .
HDS-oppsettverktøyet, HDS-startprogrammet og lokal KMS må alle bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN når de ber om tilgang med Kerberos-autentisering.
Krav til ekstern tilkobling
Konfigurer brannmuren til å tillate følgende tilkoblingsmuligheter for HDS-programmene:
Applikasjon | Protokoll | Port | Veibeskrivelse fra app | Destinasjon |
---|---|---|---|---|
Hybride datasikkerhetsnoder | TCP | 443 | Utgående HTTPS og WSS |
|
HDS-oppsettverktøy | TCP | 443 | Utgående HTTPS |
|
Hybrid Data Security-nodene fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmur tillater de nødvendige utgående tilkoblingene til domenemålene i den foregående tabellen. For tilkoblinger som går inn til Hybrid Data Security-nodene, skal ingen porter være synlige fra Internett. I datasenter ditt trenger klienter tilgang til hybriddatasikkerhetsnodene på TCP-portene 443 og 22 til administrative formål. |
URL-adressene for CI-vertene (Common Identity) er regionsspesifikke. Dette er de nåværende CI-vertene:
Region | Felles URL-adresser for vertsidentitet |
---|---|
Nord- og Sør-Amerika |
|
Den europeiske union |
|
Canada |
|
Krav til proxy-server
Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene dine for hybriddatasikkerhet.
Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).
Eksplisitt proxy – Squid.
Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av WebSocket (wss:) tilkoblinger. Hvis du vil omgå dette problemet, kan du se Konfigurer Squid-proxyer for hybrid datasikkerhet .
Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:
Ingen godkjenning med HTTP eller HTTPS
Enkel godkjenning med HTTP eller HTTPS
Sammendragsgodkjenning kun med HTTPS
Hvis du vil ha en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne håndboken beskriver hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnoder.
Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.
Proxyer som inspiserer nettrafikk, kan forstyrre WebSocket-tilkoblinger. Hvis dette problemet oppstår, kan du omgå (ikke inspisere) trafikk til
wbx2.com
ogciscospark.com
vil løse problemet.
Fullfør forutsetningene for hybrid datasikkerhet
1 | Kontroller at Webex-organisasjonen din er aktivert for Pro Pack for Cisco Webex Control Hub, og få legitimasjonen til en konto med fulle administrator . Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen. | ||
2 | Velg et domenenavn for HDS-distribusjonen (for eksempel | ||
3 | Klargjør identiske virtuelle verter som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen. Du trenger minst to separate verter (tre anbefales) plassert i det samme sikre datasenter, som oppfyller kravene i Krav til virtuell vert . | ||
4 | Klargjør databaseserver som skal fungere som datalager for klyngen, i henhold til Krav til databaseserver . databaseserver må være lokalisert i det sikre datasenter med de virtuelle vertene. | ||
5 | Hvis du vil ha rask gjenoppretting ved katastrofegjenoppretting, konfigurerer du et sikkerhetskopimiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet for virtuelle datamaskiner og en databaseserver. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. | ||
6 | Konfigurer en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadresse og syslog-porten (standard er UDP 514). | ||
7 | Opprett en sikker sikkerhetskopieringspolicy for Hybrid Data Security-nodene, databaseserver og syslog-verten. For å forhindre tap av ugjenopprettelig data må du som et minimum sikkerhetskopiere databasen og ISO-konfigurasjonsfilen som er generert for Hybrid Data Security-nodene.
Webex App-klienter hurtigbufrer nøklene sine, så et driftsbrudd vil kanskje ikke merkes umiddelbart, men vil bli tydelig over tid. Selv om midlertidige strømbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopier tilgjengelig) av enten databasen eller ISO-konfigurasjonsfilen vil imidlertid føre til kundedata som ikke kan gjenopprettes. Operatørene av Hybrid Data Security-nodene forventes å opprettholde hyppige sikkerhetskopier av databasen og ISO-konfigurasjonsfilen, og være forberedt på å gjenoppbygge Hybrid Data Security datasenter hvis det oppstår en katastrofal feil. | ||
8 | Kontroller at brannmurkonfigurasjonen tillater tilkobling for Hybrid Data Security-nodene som angitt i Krav til ekstern tilkobling . | ||
9 | Installer Docker (https://www.docker.com ) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til den på http://127.0.0.1:8080. Du bruker Docker-forekomsten til å laste ned og kjøre installasjonsverktøyet for HDS, som bygger den lokale konfigurasjonsinformasjon for alle Hybrid Data Security-nodene. Organisasjonen din kan trenge en Docker Desktop-lisens. Se Krav til Docker-skrivebord hvis du vil ha mer informasjon. Hvis du vil installere og kjøre HDS-installasjonsverktøyet, må den lokale maskinen ha tilkoblingsmulighetene som er angitt i Krav til ekstern tilkobling . | ||
10 | Hvis du integrerer en proxy med Hybrid Data Security, må du kontrollere at den oppfyller Krav til proxy-server . | ||
11 | Hvis organisasjonen din bruker katalogsynkronisering, oppretter du en gruppe i Active Directory som heter
|
Oppgaveflyt for distribusjon av hybrid datasikkerhet
Før du starter
1 |
Last ned OVA-filen til din lokale maskin for senere bruk. | ||
2 | Opprett en konfigurasjons-ISO for HDS-vertene Bruk HDS-oppsettverktøyet til å opprette en ISO konfigurasjonsfil for hybriddatasikkerhetsnodene. | ||
3 |
Opprett en virtuell maskin fra OVA-filen og utfør den første konfigurasjonen, for eksempel nettverksinnstillinger.
| ||
4 | Konfigurer den virtuelle hybriddatasikkerhetsmaskinen Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon. | ||
5 | Last opp og monter HDS-konfigurasjons-ISO Konfigurer den virtuelle maskinen fra ISO konfigurasjonsfil du opprettet med HDS-installasjonsverktøyet. | ||
6 | Konfigurere HDS-noden for proxy-integrasjon Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du proxy-typen du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig. | ||
7 | Registrer den første noden i klyngen Registrer den virtuelle maskinen med Cisco Webex skyen som en hybrid datasikkerhetsnode. | ||
8 | Opprett og registrer flere noder Fullfør klyngeoppsettet. | ||
9 | Kjør en prøveversjon og gå til produksjon (neste kapittel) Frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert. |
Last ned installasjonsfiler
1 | Logg påhttps://admin.webex.com , og klikk deretter Tjenester . | ||||
2 | Finn Hybrid Data Security-kortet under Hybridtjenester, og klikk deretter på Konfigurer . Hvis kortet er deaktivert eller du ikke ser det, kontakter du kontoteamet ditt eller partnerorganisasjonen din. Gi dem kontonummeret ditt, og be om å aktivere organisasjonen din for Hybrid Data Security. Hvis du vil finne kontonummeret, klikker du på tannhjulet øverst til høyre, ved siden av organisasjonsnavnet.
| ||||
3 | Velg Nei for å indikere at du ikke har satt opp noden ennå, og klikk deretter på Neste . Nedlastingen av OVA-filen begynner automatisk. Lagre filen et sted på maskinen.
| ||||
4 | Du kan også klikke på Åpne Distribusjonsveiledning for å sjekke om det finnes en nyere versjon av denne veiledningen. |
Opprett en konfigurasjons-ISO for HDS-vertene
Konfigurasjonsprosessen for Hybrid Data Security oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere Hybrid Data Security-verten.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariabler når du henter frem Docker-beholderen i trinn 5 . Denne tabellen gir noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen når du gjør konfigurasjonsendringer, for eksempel disse:
Databaselegitimasjon
Sertifikatoppdateringer
Endringer i retningslinjene for autorisasjon
Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du PostgreSQL- eller SQL Server-distribusjonen for TLS.
1 | På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
2 | Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende:
| ||||||||||||
3 | Når du blir bedt om passord, skriver du inn denne hashen:
| ||||||||||||
4 | Last ned det nyeste stabile bildet for miljøet ditt: I vanlige miljøer:
I FedRAMP-miljøer:
| ||||||||||||
5 | Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:
Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080». | ||||||||||||
6 |
Bruk en nettleser til å gå til den lokale verten, Verktøyet bruker denne første oppføringen i brukernavnet til å angi riktig miljø for den kontoen. Verktøyet viser deretter standard påloggingsmelding. | ||||||||||||
7 | Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Control Hub-kundeadministratoren, og klikker deretter på Logg inn for å gi tilgang til de nødvendige tjenestene for Hybrid Data Security. | ||||||||||||
8 | På oversiktssiden for installasjonsverktøy klikker du på Kom i gang . | ||||||||||||
9 | På ISO-import side, har du disse alternativene:
| ||||||||||||
10 | Kontroller at X.509-sertifikatet oppfyller kravene i Krav til X.509-sertifikater .
| ||||||||||||
11 | Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret: | ||||||||||||
12 | Velg en Tilkoblingsmodus for TLS-database :
Når du laster opp rotsertifikat (om nødvendig), og klikker Fortsett tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserver. Verktøyet bekrefter også sertifikatunderskriveren og vertsnavnet, hvis det er aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan det hende at HDS-nodene kan opprette TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.) | ||||||||||||
13 | Konfigurer Syslogd-serveren på siden Systemlogger: | ||||||||||||
14 | (Valgfritt) Du kan endre standardverdi for noen databasetilkoblingsparametere i Avanserte innstillinger . Vanligvis er denne parameteren den eneste du kanskje vil endre:
| ||||||||||||
15 | Klikk på Fortsett på Tilbakestill passordet for tjenestekontoer skjermen. Passord for tjenestekontoer har en levetid på ni måneder. Bruk denne skjermen når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem for å ugyldiggjøre tidligere ISO-filer. | ||||||||||||
16 | Klikk på Last ned ISO-fil . Lagre filen på et sted som er lett å finne. | ||||||||||||
17 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||||||||||||
18 | Hvis du vil avslutte konfigureringsverktøyet, skriver du inn |
Hva nå?
Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.
Vi har aldri en kopi av denne nøkkelen, og kan ikke hjelpe hvis du mister den. |
Installer HDS Host OVA
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten. | ||||||
2 | Velg Fil > Distribuer OVF-mal . | ||||||
3 | Angi plasseringen av OVA-filen du lastet ned tidligere i veiviseren, og klikk deretter på Neste . | ||||||
4 | På Velg et navn og en mappe side, skriver du inn en Navn på virtuell maskin for noden (for eksempel «HDS_ Node_ 1"), velg et sted der nodedistribusjonen for den virtuell maskin kan ligge, og klikk deretter Neste . | ||||||
5 | På Velg en databehandlingsressurs -siden, velg måldataressursen, og klikk deretter Neste . Det kjøres en valideringskontroll. Når den er fullført, vises maldetaljene. | ||||||
6 | Kontroller maldetaljene, og klikk deretter på Neste . | ||||||
7 | Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon side, klikk 4 CPUer og klikk deretter Neste . | ||||||
8 | På Velg lagring side, klikk Neste for å godta standard diskformat og retningslinjer for VM-lagring. | ||||||
9 | På Velg nettverk -siden, velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til den virtuelle maskinen. | ||||||
10 | På Tilpass mal side, konfigurerer du følgende nettverksinnstillinger:
Hvis du foretrekker det, kan du hoppe over konfigurasjonen av nettverksinnstillinger og følge trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen for å konfigurere innstillingene fra nodekonsollen.
| ||||||
11 | Høyreklikk på den virtuelle noden, og velg deretter .Hybrid Data Security-programvaren installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden. Feilsøkingstips Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen ved første oppstart, der du ikke kan logge på. |
Konfigurer den virtuelle hybriddatasikkerhetsmaskinen
Bruk denne fremgangsmåten til å logge på VM-konsollen for Hybrid Data Security-noden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.
1 | I VMware vSphere-klienten velger du den virtuelle hybriddatasikkerhetsnoden og velger Konsoll -fanen. Den virtuelle maskinen starter opp, og det vises en påloggingsmelding. Hvis påloggingsmeldingen ikke vises, trykker du på Gå inn .
|
2 | Bruk følgende standard påloggingsinformasjon og passord for å logge på og endre legitimasjonen: Siden du logger på den virtuelle maskinen for første gang, må du endre administrator . |
3 | Hvis du allerede har konfigurert nettverksinnstillinger i Installer HDS Host OVA , hopper du over resten av denne prosedyren. Ellers velger du på hovedmeny Rediger konfigurasjon alternativet. |
4 | Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke. |
5 | (Valgfritt) Endre vertsnavnet, domenet eller NTP-server(e) om nødvendig for å samsvare med nettverkspolicyen din. Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet. |
6 | Lagre nettverkskonfigurasjon og start den virtuelle maskinen på nytt slik at endringene trer i kraft. |
Last opp og monter HDS-konfigurasjons-ISO
Før du starter
Siden ISO-filen inneholder hovednøkkelen, bør den bare vises på en «trenger å vite»-basis, for tilgang for de virtuelle hybriddatasikkerhets-ene og alle administratorer som måtte trenge å gjøre endringer. Kontroller at bare disse administratorene har tilgang til datalageret.
1 | Last opp ISO-filen fra datamaskinen: |
2 | Monter ISO-filen: |
Hva nå?
Hvis IT-retningslinjene krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene dine har registrert konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.
Konfigurere HDS-noden for proxy-integrasjon
Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybriddatasikkerhet. Hvis du velger en gjennomsiktig inspeksjonsproxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet og feilsøke eventuelle problemer.
Før du starter
Se Proxy-støtte hvis du vil ha en oversikt over proxy-alternativene som støttes.
1 | Angi URL-adressen til oppsett av HDS-node |
2 | Gå til Klareringslager og proxy, og velg deretter et alternativ:
Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en HTTP-eksplisitt proxy med enkel godkjenning eller en eksplisitt HTTPS-proxy. |
3 | Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen. Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på vinkeltegnpilen ved navnet på sertifikatutstederen for å få flere detaljer, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt. |
4 | Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen. Hvis tilkoblingstesten mislykkes, ser du en feilmelding som viser årsaken og hvordan du kan løse problemet. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne betingelsen forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene, og deretter ser du Slå av blokkert ekstern DNS-oppløsningsmodus . |
5 | Etter at tilkoblingstesten blir bestått, kun for eksplisitt proxy satt til https, setter du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen trer i kraft etter 15 sekunder. |
6 | Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en HTTP-eksplisitt proxy), les ledeteksten, og klikk deretter på Installer hvis du er klar. Noden starter på nytt i løpet av noen få minutter. |
7 | Når noden har startet på nytt, logger du på igjen om nødvendig, og deretter åpner du Oversikt-siden for å kontrollere tilkoblingskontrollene for å sikre at alle har grønn status. Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det oppstår tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen. |
Registrer den første noden i klyngen
Når du registrerer den første noden, oppretter du en klynge som noden er tilordnet. En klynge inneholder én eller flere noder distribuert for å gi redundans.
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Logg på https://admin.webex.com. |
2 | Fra menyen på venstre side av skjermen velger du Tjenester . |
3 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Konfigurer . Siden Registrer hybrid node for datasikkerhet vises.
|
4 | Velg Ja for å indikere at du har satt opp noden og er klar til å registrere den, og klikk deretter på Neste . |
5 | I det første feltet skriver du inn et navn på klyngen du vil tilordne Hybrid Data Security-noden til. Vi anbefaler at du gir navn til en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: «San Francisco» eller «New York» eller «Dallas» |
6 | I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste . Denne IP-adresse eller FQDN må samsvare med IP-adresse eller vertsnavnet og domenet du brukte i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . Det vises en melding som angir at du kan registrere noden til Webex.
|
7 | Klikk på Gå til Node . |
8 | Klikk på Fortsett i advarselsmelding. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til Webex-organisasjonen din for å få tilgang til noden.
|
9 | Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett . Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
|
10 | Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden. På Hybrid datasikkerhet side, vises den nye klyngen som inneholder noden du registrerte. Noden vil automatisk laste ned den nyeste programvaren fra skyen.
|
Opprett og registrer flere noder
På dette tidspunktet er de virtuelle sikkerhetskopiene-ene du opprettet i Fullfør forutsetningene for hybrid datasikkerhet er standby-verter som bare brukes i tilfelle katastrofegjenoppretting; de er ikke registrert i systemet før da. Hvis du vil ha mer informasjon, se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus . |
Før du starter
Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.
Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 | Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA . |
2 | Konfigurer den første konfigurasjonen på den nye virtuelle maskinen, og gjenta trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen . |
3 | Gjenta trinnene i den nye VM-en Last opp og monter HDS-konfigurasjons-ISO . |
4 | Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrering etter behov for den nye noden. |
5 | Registrer noden. Noden din er registrert. Merk at frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.
|
Hva nå?
Oppgaveflyt fra prøveversjon til produksjon
Når du har konfigurert en Hybrid Data Security-klynge, kan du starte en pilot, legge til brukere i den og begynne å bruke den til testing og bekreftelse av distribusjonen som forberedelse til overgang til produksjon.
Før du starter
1 | Hvis det er aktuelt, synkroniserer du Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge |
2 |
Start en prøveversjon. Frem til du gjør denne oppgaven, genererer nodene en alarm som indikerer at tjenesten ennå ikke er aktivert. |
3 | Test hybriddistribusjonen av datasikkerhet Kontroller at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen. |
4 | Overvåke helse for hybrid datasikkerhet Sjekk status, og konfigurer e-postvarsler for alarmer. |
5 | |
6 | Fullfør prøveperioden med én av følgende handlinger: |
Aktiver prøveversjon
Før du starter
Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup
gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.
1 | Logg påhttps://admin.webex.com , og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Start prøveversjonen . Tjenestestatusen endres til prøveversjonsmodus.
|
4 | Klikk på Legg til brukere og angi e-postadresse til én eller flere brukere for å prøve å bruke Hybrid Data Security-nodene for kryptering og indekseringstjenester. (Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory til å administrere prøvegruppen, |
Test hybriddistribusjonen av datasikkerhet
Før du starter
Konfigurer Hybrid Data Security-distribusjonen.
Aktiver prøveversjonen, og legg til flere prøveversjonsbrukere.
Kontroller at du har tilgang til syslog for å bekrefte at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.
1 | Taster for et gitt område angis av oppretteren av området. Logg på Webex-appen som én av pilotbrukerne, og opprett deretter et område og inviter minst én pilotbruker og én ikke-pilotbruker.
| ||
2 | Send meldinger til det nye området. | ||
3 | Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til Hybrid Data Security-distribusjonen. |
Overvåke helse for hybrid datasikkerhet
1 | I Kontrollhub , velger du Tjenester fra menyen på venstre side av skjermen. |
2 | I delen Hybridtjenester finner du Hybrid Data Security og klikker på Innstillinger . Siden Innstillinger for hybrid datasikkerhet vises.
|
3 | I delen E-postvarsler skriver du inn én eller flere e-postadresser atskilt med komma, og trykker på Gå inn . |
Legg til eller fjern brukere fra prøveversjonen
Hvis du fjerner en bruker fra prøveversjonen, vil brukerens klient be om å opprette nøkler og nøkler fra KMS-skyen i stedet for KMS-en din. Hvis klienten trenger en nøkkel som er lagret på KMS-en, vil KMS-en i skyen hente den på brukerens vegne.
Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory (i stedet for denne prosedyren) til å administrere prøvegruppen, HdsTrialGroup
; du kan vise gruppemedlemmene i Control Hub, men kan ikke legge til eller fjerne dem.
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Prøvemodus i området Tjenestestatus klikker du på Legg til brukere , eller klikk vise og redigere for å fjerne brukere fra prøveversjonen. |
4 | Skriv inn e-postadresse til én eller flere brukere som skal legges til, eller klikk på X av en bruker-ID for å fjerne brukeren fra prøveversjonen. Klikk deretter på Lagre. |
Gå fra prøveversjon til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I delen Tjenestestatus klikker du på Flytt til produksjon . |
4 | Bekreft at du vil flytte alle brukerne til produksjon. |
Avslutt prøveversjonen uten å gå til produksjon
1 | Logg på Control Hub, og velg deretter Tjenester . |
2 | Under Hybrid Data Security klikker du på Innstillinger . |
3 | I Deaktiver-delen klikker du på Deaktiver . |
4 | Bekreft at du vil deaktivere tjenesten og avslutte prøveversjonen. |
Behandle HDS-distribusjon
Bruk oppgavene som er beskrevet her, til å administrere Hybrid Data Security-distribusjonen.
Angi tidsplan for klyngeoppgradering
Slik angir du oppgraderingsplanen:
1 | Logg på Control Hub. |
2 | På Oversikt-siden, under Hybridtjenester, velger du Hybrid datasikkerhet . |
3 | Velg klyngen på siden Hybriddatasikkerhetsressurser. |
4 | I Oversikt-panelet til høyre, under Klyngeinnstillinger, velger du klyngenavnet. |
5 | På Innstillinger-siden, under Oppgradering, velger du tid og tidssone for oppgraderingsplanen. Merk: Under tidssone vises dato og klokkeslett for neste tilgjengelige oppgradering. Du kan om nødvendig utsette oppgraderingen til neste dag ved å klikke på Utsette . |
Endre nodekonfigurasjonen
Endring av x.509-sertifikater på grunn av utløpsdato eller andre årsaker.
Vi støtter ikke endring av CN- domenenavn for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.
Oppdaterer databaseinnstillinger for å endre til en replika av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt vei. Hvis du vil bytte databasemiljø, starter du en ny distribusjon av Hybrid Data Security.
Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.
Av sikkerhetshensyn bruker Hybrid Data Security også passord for tjenestekonto som har en levetid på ni måneder. Når HDS-installasjonsverktøyet genererer disse passordene, distribuerer du dem til hver av HDS-nodene i ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløpsdato, mottar du et varsel fra Webex-teamet om å tilbakestille passordet for maskinkontoen din. (E-posten inneholder teksten «Bruk maskinkontoens API til å oppdatere passordet.») Hvis passordene ikke er utløpt ennå, gir verktøyet deg to alternativer:
Myk tilbakestilling – Det gamle og det nye passordet fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.
Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.
Hvis passordene dine utløper uten en tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.
Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.
Før du starter
Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.
Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du henter opp Docker-beholderen i 1.e . Denne tabellen gir noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO-en inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO-en når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i autorisasjonspolicy.
1 | Kjør HDS-konfigureringsverktøyet via Docker på en lokal maskin. |
2 | Hvis du kun kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den via den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, se Opprett og registrer flere noder . |
3 | For eksisterende HDS-noder som kjører den eldre konfigurasjonsfil, monterer du ISO-filen. Utfør følgende prosedyre på hver node etter tur, og oppdater hver node før du slår av neste node: |
4 | Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen. |
Deaktiver blokkert ekstern DNS-oppløsningsmodus
Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modusen blokkert ekstern DNS-oppløsning.
Hvis nodene kan løse offentlige DNS-navn via interne DNS-servere, kan du deaktivere denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.
Før du starter
1 | Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/-oppsett, for eksempel https://192.0.2.0/setup),angi administratorlegitimasjonen du konfigurerte for noden, og klikk deretter på Logg på. |
2 | Gå til Oversikt (standardsiden). Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja. |
3 | Gå til siden Klareringslager og proxy. |
4 | Klikk på Kontroller proxy-tilkobling. Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og den vil forbli i denne modusen. Ellers, etter at du har startet noden på nytt og gått tilbake til Oversikt-siden, bør Blokkert ekstern DNS-oppløsning settes til Nei. |
Hva nå?
Fjerne en node
1 | Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuell maskin. |
2 | Fjern noden: |
3 | Slett den virtuelle maskinen i vSphere-klienten. (I venstre navigasjonsrute høyreklikk du på den virtuelle maskinen og klikker Slett .) Hvis du ikke sletter den virtuelle maskinen, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke den virtuelle maskinen til å få tilgang til sikkerhetsdataene dine. |
Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus
Den mest kritiske tjenesten Hybrid Data Security-klyngen tilbyr, er opprettelse og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet Hybrid Data Security, rutes nye forespørsler om å opprette nøkkel til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til alle brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.
Siden klyngen utfører den kritiske funksjonen med å oppgi disse nøklene, er det viktig at klyngen fortsetter å kjøre og at forsvarlige sikkerhetskopier opprettholdes. Tap av Hybrid Data Security-databasen eller av ISO-konfigurasjonen som ble brukt for skjemaet, vil føre til TAP av kundeinnhold som ikke kan gjenopprettes. Følgende fremgangsmåter er obligatoriske for å forhindre slikt tap:
Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenter blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til datasenter i ventemodus.
1 | Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene . | ||
2 | Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger | ||
3 | På Avanserte innstillinger side, legger du til konfigurasjonen nedenfor eller fjerner
| ||
4 | Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. | ||
5 | Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer. | ||
6 | I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. . | ||
7 | Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.
| ||
8 | Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter. | ||
9 | Gjenta prosessen for hver node i datasenter i ventemodus.
|
Hva nå?
(Valgfritt) Avmonter ISO etter HDS-konfigurasjon
Standard HDS-konfigurasjonen kjører med ISO-en montert. Men noen kunder foretrekker å ikke la ISO-filer være kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-noder har plukket opp den nye konfigurasjonen.
Du bruker fortsatt ISO-filene til å gjøre konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO via installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene dine har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en på nytt med denne prosedyren.
Før du starter
Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.
1 | Avslutt én av HDS-nodene dine. |
2 | I vCenter Server Appliance velger du HDS-noden. |
3 | Velg ISO-fil for datalager . og fjern merket |
4 | Slå på HDS-noden og kontroller at det ikke er noen alarmer på minst 20 minutter. |
5 | Gjenta for hver HDS-node etter tur. |
Vis varsler og feilsøking
En Hybrid Data Security-distribusjon anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller hvis klyngen fungerer så sakte at forespørslene tidsavbrudd. Hvis brukere ikke kan nå Hybrid Data Security-klyngen, opplever de følgende symptomer:
Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)
Meldinger og områdetitler kan ikke dekrypteres for:
Nye brukere lagt til i et område (kan ikke hente nøkler)
Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)
Eksisterende brukere i et område fortsetter å kjøre så lenge klientene deres har en hurtigbuffer for krypteringsnøklene
Det er viktig at du overvåker Hybrid Data Security-klyngen på riktig måte og adresserer alle varsler umiddelbart for å unngå avbrudd i tjenesten.
Varsler
Hvis det er et problem med oppsettet av Hybrid Data Security, viser Control Hub varsler til administrator og sender e-postmeldinger til den konfigurerte e-postadresse. Varslene dekker mange vanlige scenarier.
Varsel | Handling |
---|---|
Feil ved tilgang til lokal database. |
Se etter databasefeil eller problemer med det lokale nettverket. |
tilkoblingsfeil til lokal database. |
Kontroller at databaseserver er tilgjengelig, og at riktig påloggingsinformasjon for tjenestekonto ble brukt i nodekonfigurasjonen. |
Tilgangsfeil for skytjeneste. |
Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling . |
Fornyer registrering av skytjeneste. |
Registrering for skytjenester ble avbrutt. Fornyelse av registrering pågår. |
Registrering av skytjeneste ble avbrutt. |
Registreringen til skytjenester ble avsluttet. Tjenesten avsluttes. |
Tjenesten ikke aktivert ennå. |
Aktiver en prøveversjon, eller fullfør flyttingen av prøveversjonen til produksjon. |
Det konfigurerte domenet samsvarer ikke med serversertifikat. |
Kontroller at serversertifikat samsvarer med det konfigurerte domenet for tjenesteaktivering. Den mest sannsynlige årsaken er at sertifikatet CN nylig ble endret og nå er forskjellig fra CN som ble brukt under det første oppsettet. |
Kunne ikke autentisere for skytjenester. |
Se etter nøyaktighet og mulig utløp av legitimasjon for tjenestekonto . |
Kunne ikke åpne den lokale nøkkellagerfilen. |
Se etter integritet og passordnøyaktighet i den lokale nøkkellagerfilen. |
Det lokale serversertifikat er ugyldig. |
Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans. |
Kan ikke legge inn beregninger. |
Sjekk lokal nettverkstilgang til eksterne skytjenester. |
Katalogen /media/configdrive/hds finnes ikke. |
Kontroller konfigurasjonen for ISO-montering på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å montere ved omstart, og at den er vellykket. |
Feilsøke hybrid datasikkerhet
1 | Se gjennom Control Hub for å se eventuelle varsler, og reparer alle elementer du finner der. |
2 | Se gjennom syslog-serverutdataene for aktivitet fra Hybrid Data Security-distribusjonen. |
3 | Kontakt Cisco-støtte . |
Kjente problemer med hybrid datasikkerhet
Hvis du avslutter Hybrid Data Security-klyngen (ved å slette den i Control Hub eller ved å avslutte alle noder), mister ISO-konfigurasjonsfilen eller mister tilgangen til nøkkellagerdatabasen, kan brukerne av Webex-appen ikke lenger bruke områder under Personene sine liste som ble opprettet med nøkler fra KMS. Dette gjelder både prøveversjon og produksjonsdistribusjoner. Vi har for øyeblikket ingen løsning eller løsning for dette problemet, og vi ber deg innstendig om ikke å avslutte HDS-tjenestene dine når de håndterer aktive brukerkontoer.
En klient som har en eksisterende ECDH-tilkobling til en KMS, opprettholder denne tilkoblingen i en periode (sannsynligvis én time). Når en bruker blir medlem av en prøveversjon av Hybrid Data Security, fortsetter brukerens klient å bruke den eksisterende ECDH-tilkoblingen frem til tidsavbrudd. Alternativt kan brukeren logge av og på igjen Webex-appen for å oppdatere plasseringen appen kontakter for krypteringsnøkler.
Den samme virkemåten oppstår når du flytter en prøveversjon til produksjon for organisasjonen. Alle ikke-prøvebrukere med eksisterende ECDH-tilkoblinger til de tidligere datasikkerhetstjenestene vil fortsette å bruke disse tjenestene til ECDH-tilkoblingen reforhandles (gjennom tidsavbrudd eller ved å logge av og på igjen).
Bruk OpenSSL til å generere en PKCS12-fil
Før du starter
OpenSSL er ett verktøy som kan brukes til å gjøre PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi hverken støtter eller promoterer én måte fremfor en annen.
Hvis du velger å bruke OpenSSL, tilbyr vi denne fremgangsmåten som en retningslinje for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i Krav til X.509-sertifikater . Forstå disse kravene før du fortsetter.
Installer OpenSSL i et støttet miljø. Sehttps://www.openssl.org for programvaren og dokumentasjonen.
Opprett en privat nøkkel.
Start denne prosedyren når du mottar serversertifikat fra sertifiseringsinstans (CA).
1 | Når du mottar serversertifikat fra CA, lagrer du det som |
2 | Vis sertifikatet som tekst, og bekreft detaljene.
|
3 | Bruk et tekstredigeringsprogram til å opprette en sertifikatpakkefil kalt
|
4 | Opprett .p12-filen med det vennlige navnet
|
5 | Kontroller serversertifikat . |
Hva nå?
Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet . Du vil bruke hdsnode.p12
filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-vertene .
Du kan bruke disse filene på nytt til å be om et nytt sertifikat når det opprinnelige sertifikatet utløper. |
Trafikk mellom HDS-nodene og skyen
Utgående trafikk for innsamling av beregninger
Hybriddatasikkerhetsnodene sender bestemte beregninger til Webex-skyen. Disse inkluderer systemmålinger for maks. haug, brukt haug, CPU-belastning og antall tråder. målinger for synkrone og asynkrone tråder; målinger for varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller en forespørselskølengde; målinger på datalageret; og måleverdier for krypteringstilkobling. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).
Innkommende trafikk
Hybriddatasikkerhetsnodene mottar følgende typer innkommende trafikk fra Webex-skyen:
Krypteringsforespørsler fra klienter, som rutes av krypteringstjenesten
Oppgraderinger til nodeprogramvaren
Konfigurer Squid-proxyer for hybrid datasikkerhet
Websocket kan ikke koble til via Squid-proxy
Squid-proxyer som inspiserer HTTPS-trafikk, kan forstyrre etableringen av websocket ( wss:
)-tilkoblinger som Hybrid Data Security krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss:
trafikk for riktig drift av tjenestene.
Squid 4 og 5
Legg til on_unsupported_protocol
direktiv til squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Vi testet Hybrid Data Security med følgende regler lagt til squid.conf
. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Forord
Ny og endret informasjon
Dato |
Endringer gjort |
---|---|
20. oktober 2023 |
|
7. august 2023 |
|
23. mai 2023 |
|
06. desember 2022 |
|
23. november 2022 |
|
13. oktober 2021 |
Docker Desktop må kjøre et oppsettsprogram før du kan installere HDS-noder. Se Krav til Docker-skrivebord. |
24. juni 2021 |
Notert at du kan bruke den private nøkkelfilen og CSR på nytt for å be om et annet sertifikat. Se Bruk OpenSSL til å generere en PKCS12-fil for detaljer. |
30. april 2021 |
Endret VM-kravet for lokal harddiskplass til 30 GB. Se Krav til virtuell vert for detaljer. |
24. februar 2021 |
HDS-installasjonsverktøyet kan nå kjøre bak en proxy. Se Opprette en konfigurasjons-ISO for HDS-verter hvis du vil ha mer informasjon. |
2. februar 2021 |
HDS kan nå kjøre uten en montert ISO-fil. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer. |
11. januar 2021 |
Lagt til informasjon om HDS-installasjonsverktøyet og proxyer for å opprette en konfigurasjons-ISO for HDS-verter. |
13. oktober 2020 |
Oppdatert Last ned installasjonsfiler. |
8. oktober 2020 |
Oppdatert Opprett en konfigurasjons-ISO for HDS-verter og Endre nodekonfigurasjonen med kommandoer for FedRAMP-miljøer. |
14. august 2020 |
Oppdatert Opprett en konfigurasjons-ISO for HDS-verter og Endre nodekonfigurasjonen med endringer i påloggingsprosessen. |
5. august 2020 |
Oppdatert Test distribusjonen av hybriddatasikkerhet for endringer i loggmeldinger. Oppdaterte krav til virtuell vert for å fjerne maksimalt antall verter. |
16. juni 2020 |
Oppdatert Fjern en node for endringer i Control Hub-brukergrensesnittet. |
4. juni 2020 |
Oppdatert Opprett en konfigurasjons-ISO for HDS-verter for endringer i de avanserte innstillingene du kan angi. |
29. mai 2020 |
Oppdatert Opprett en konfigurasjons-ISO for HDS-verter for å vise at du også kan bruke TLS med SQL Server-databaser, endringer i brukergrensesnitt og andre avklaring. |
5. mai 2020 |
Oppdaterte krav til virtuell vert for å vise nye krav til ESXi 6.5. |
21. april 2020 |
Oppdaterte krav til ekstern tilkobling med nye Americas CI-verter. |
1. april 2020 |
Oppdatert krav til ekstern tilkobling med informasjon om regionale CI-verter. |
20. februar 2020 | Oppdatert Opprett en konfigurasjons-ISO for HDS-verter med informasjon om ny valgfri skjermbilde for avanserte innstillinger i HDS-installasjonsverktøyet. |
4. februar 2020 | Oppdaterte krav til proxy-server. |
16. desember 2019 | Klargjorde kravet om at blokkert ekstern DNS-oppløsningsmodus skal fungere i Proxy Server Requirements. |
19. november 2019 |
La til informasjon om blokkert ekstern DNS-oppløsningsmodus i følgende deler: |
8. november 2019 |
Du kan nå konfigurere nettverksinnstillinger for en node mens du distribuerer OVA i stedet for etterpå. Oppdaterte følgende deler i henhold til dette: Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 6.5. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner. |
6. september 2019 |
La til SQL Server Standard i Krav til databaseserver. |
29. august 2019 | La til Konfigurer Squid-proxyer for hybriddatasikkerhet vedlegg med veiledning om hvordan du konfigurerer Squid-proxyer til å ignorere websocket-trafikk for riktig drift. |
20. august 2019 |
Lagt til og oppdatert deler for å dekke proxy-støtte for hybriddatasikkerhetsnodekommunikasjon til Webex-skyen. Hvis du vil ha tilgang til bare proxy-støtteinnholdet for en eksisterende distribusjon, kan du se hjelpeartikkelen Proxy-støtte for hybriddatasikkerhet og Webex-videonett . |
13. juni 2019 | Oppdatert Prøveversjon til produksjonsoppgaveflyt med en påminnelse om å synkronisere HdsTrialGroup -gruppeobjektet før du starter en prøveversjon hvis organisasjonen bruker katalogsynkronisering. |
6. mars 2019 |
|
28. februar 2019 |
|
26. februar 2019 |
|
24. januar 2019 |
|
5. november 2018 |
|
19. oktober 2018 |
|
31. juli 2018 |
|
21. mai 2018 |
Endret terminologi for å gjenspeile omprofileringen av Cisco Spark:
|
11. april 2018 |
|
22. februar 2018 |
|
15. februar 2018 |
|
18. januar 2018 |
|
2. november 2017 |
|
18. august 2017 |
Først publisert |
Kom i gang med hybriddatasikkerhet
Oversikt over hybriddatasikkerhet
Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er innholdskryptering fra ende-til-ende, aktivert av Webex-appklienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografiske nøkler som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.
Som standard får alle Webex-appkunder ende-til-ende-kryptering med dynamiske nøkler lagret i skyen KMS, i Ciscos sikkerhetsområde. Hybrid Data Security flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, så ingen andre enn deg har nøklene til ditt krypterte innhold.
Sikkerhetsområde arkitektur
Webex-skyarkitekturen skiller forskjellige typer tjenester inn i separate områder, eller klareringsdomener, som vist nedenfor.
For å forstå hybrid datasikkerhet ytterligere, la oss først se på dette rene skytilfellet, der Cisco leverer alle funksjonene i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan være direkte korrelert med sine personopplysninger, for eksempel e-postadresse, er logisk og fysisk adskilt fra sikkerhetsområdet i datasenter B. Begge er i sin tur adskilt fra området der kryptert innhold lagres, i datasenter C.
I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og er godkjent med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:
-
Klienten oppretter en sikker tilkobling til nøkkeladministrasjonstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikre tilkoblingen bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en hovednøkkel AES-256.
-
Meldingen krypteres før den forlater klienten. Klienten sender det til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe i fremtidige søk etter innholdet.
-
Den krypterte meldingen sendes til samsvarstjenesten for kontroll av samsvar.
-
Den krypterte meldingen lagres i lagringsområdet.
Når du distribuerer hybrid datasikkerhet, flytter du sikkerhetsområdefunksjonene (KMS, indeksering og samsvar) til det lokale datasenteret. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos områder.
Samarbeide med andre organisasjoner
Brukere i organisasjonen kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen din (fordi det ble opprettet av en av brukerne), sender KMS nøkkelen til klienten via en ECDH-sikret kanal. Når en annen organisasjon eier nøkkelen for området, sender KMS imidlertid forespørselen ut til Webex-skyen via en egen ECDH-kanal for å hente nøkkelen fra den aktuelle KMS, og returnerer deretter nøkkelen til brukeren din på den opprinnelige kanalen.
KMS-tjenesten som kjører på Org A, validerer tilkoblingene til KMS i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet hvis du vil ha mer informasjon om hvordan du genererer et x.509-sertifikat som skal brukes med distribusjonen av hybriddatasikkerhet.
Forventninger til distribusjon av hybrid datasikkerhet
En distribusjon av hybrid datasikkerhet krever betydelig kundeforpliktelse og bevissthet om risikoene som følger med å eie krypteringsnøkler.
For å distribuere hybrid datasikkerhet må du oppgi:
-
Et sikkert datasenter i et land som er et støttet sted for Cisco Webex Teams-planene.
Fullstendig tap av enten konfigurasjons-ISO-en du bygger for hybriddatasikkerhet eller databasen du leverer, vil føre til tap av nøklene. Nøkkeltap hindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:
-
Administrer sikkerhetskopiering og gjenoppretting av databasen og konfigurasjons-ISO.
-
Vær forberedt på å utføre rask katastrofegjenoppretting hvis en katastrofe oppstår, for eksempel databasediskfeil eller datasenterkatastrofe.
Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon.
Oppsettsprosess på høyt nivå
Dette dokumentet dekker oppsettet og administrasjonen av en distribusjon av hybriddatasikkerhet:
Konfigurer hybriddatasikkerhet – dette inkluderer klargjøring av nødvendig infrastruktur og installasjon av hybriddatasikkerhetsprogramvare, testing av distribusjonen med et delsett av brukere i prøvemodus, og når testingen er fullført, går du over til produksjon. Dette konverterer hele organisasjonen til å bruke den hybride datasikkerhetsklyngen for sikkerhetsfunksjoner.
Installasjons-, prøveversjons- og produksjonsfasene er beskrevet i detalj i de neste tre kapitlene.
-
Oppretthold distribusjonen av hybrid datasikkerhet – Webex-skyen gir automatisk pågående oppgraderinger. IT-avdelingen din kan gi støtte på nivå én for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke varsler på skjermen og konfigurere e-postbaserte varsler i Control Hub.
-
Forstå vanlige varsler, feilsøkingstrinn og kjente problemer– Hvis du har problemer med å distribuere eller bruke hybriddatasikkerhet, kan det siste kapitlet i denne veiledningen og vedlegget Kjente problemer hjelpe deg med å finne og løse problemet.
Distribusjonsmodell for hybrid datasikkerhet
I bedriftens datasenter distribuerer du hybrid datasikkerhet som én klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen via sikre websockets og sikre HTTP.
Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere det virtuelle apparatet på VM-ene du leverer. Du bruker HDS-installasjonsverktøyet til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Den hybride datasikkerhetsklyngen bruker den oppgitte Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)
Minimum antall noder du kan ha i en klynge, er to. Vi anbefaler minst tre per klynge. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)
Alle noder i en klynge får tilgang til samme nøkkeldatalager og loggaktivitet til samme syslog-server. Nodene selv er statsløse, og håndterer nøkkelforespørsler på rund-robin-modus, som styres av skyen.
Noder blir aktive når du registrerer dem i Control Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.
Vi støtter bare én klynge per organisasjon.
Prøvemodus for hybriddatasikkerhet
Når du har konfigurert en distribusjon av hybriddatasikkerhet, prøver du det først med et sett med pilotbrukere. I løpet av prøveperioden bruker disse brukerne ditt lokale hybriddatasikkerhetsdomene til krypteringsnøkler og andre sikkerhetstjenester. Dine andre brukere fortsetter å bruke skysikkerhetsområdet.
Hvis du bestemmer deg for ikke å fortsette med distribusjonen under prøveperioden og deaktivere tjenesten, vil pilotbrukerne og eventuelle brukere de har samarbeidet med ved å opprette nye områder i prøveperioden, miste tilgangen til meldingene og innholdet. De vil se «Denne meldingen kan ikke dekrypteres» i Webex-appen.
Hvis du er sikker på at distribusjonen fungerer bra for prøvebrukerne, og du er klar til å utvide hybriddatasikkerhet til alle brukerne dine, flytter du distribusjonen til produksjon. Pilotbrukere har fortsatt tilgang til nøklene som var i bruk under prøveperioden. Du kan imidlertid ikke flytte frem og tilbake mellom produksjonsmodus og den opprinnelige prøveversjonen. Hvis du må deaktivere tjenesten, for eksempel for å utføre katastrofegjenoppretting, må du starte en ny prøveversjon og sette opp settet med pilotbrukere for den nye prøveversjonen før du går tilbake til produksjonsmodus. Om brukere beholder tilgang til data på dette tidspunktet, avhenger av om du har opprettholdt sikkerhetskopieringer av nøkkeldatalageret og ISO-konfigurasjonsfilen for hybriddatasikkerhetsnodene i klyngen.
Standby Data Center for katastrofegjenoppretting
Under distribusjonen setter du opp et sikkert standbydatasenter. I tilfelle en datasenterkatastrofe, kan du manuelt mislykkes distribusjonen til standbydatasenteret.
Databasene til de aktive datasentrene og standbydatasentrene er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover. ISO-filen til standbydatasenteret oppdateres med ytterligere konfigurasjoner som sikrer at nodene er registrert i organisasjonen, men ikke håndterer trafikk. Nodene i standby-datasenteret forblir derfor alltid oppdatert med den nyeste versjonen av HDS-programvaren.
De aktive nodene for hybriddatasikkerhet må alltid være i samme datasenter som den aktive databaseserveren.
Oppsett av standby-datasenter for katastrofegjenoppretting
Følg trinnene nedenfor for å konfigurere ISO-filen til standbydatasenteret:
Før du begynner
-
Standby-datasenteret skal speile produksjonsmiljøet til VM-er og en sikkerhetskopi av PostgreSQL- eller Microsoft SQL Server-databasen. Hvis for eksempel produksjonen har 3 VM-er som kjører HDS-noder, skal sikkerhetskopieringsmiljøet ha 3 VM-er. (Se Standby Data Center for Disaster Recovery for en oversikt over denne failover-modellen.)
-
Sørg for at databasesynkronisering er aktivert mellom databasen med aktive og passive klyngenoder.
1 |
Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-verter. ISO-filen må være en kopi av den opprinnelige ISO-filen fra det primære datasenteret som følgende konfigurasjonsoppdateringer skal utføres på. |
2 |
Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger |
3 |
På siden Avanserte innstillinger legger du til konfigurasjonen nedenfor for å sette noden i passiv modus. I denne modusen vil noden bli registrert i organisasjonen og koblet til skyen, men vil ikke håndtere trafikk.
|
4 |
Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. |
5 |
Ta en sikkerhetskopi av ISO-filen på ditt lokale system. Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer. |
6 |
Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.. |
7 |
Klikk på Rediger innstillinger >CD/DVD-stasjon 1 og velg ISO-fil for datalager. Kontroller at Tilkoblet og Koble til ved påslått er merket av slik at oppdaterte konfigurasjonsendringer kan tre i kraft etter at nodene er startet. |
8 |
Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 15 minutter. |
9 |
Gjenta prosessen for hver node i standbydatasenteret. Kontroller syslogene for å bekrefte at nodene er i passiv modus. Du bør kunne vise meldingen «KMS konfigurert i passiv modus» i syslogs. |
Hva du skal gjøre nå
Når du har konfigurert passiveMode
i ISO-filen og lagret den, kan du opprette en annen kopi av ISO-filen uten passiveMode
-konfigurasjonen og lagre den på et sikkert sted. Denne kopien av ISO-filen uten konfigurert passiveMode
kan bidra til en rask failover-prosess under katastrofegjenoppretting. Se Katastrofegjenoppretting ved hjelp av Standby Data Center for detaljert failover-prosedyre.
Proxy-støtte
Hybrid Data Security støtter eksplisitte, gjennomsiktige inspeksjons- og ikke-inspeksjons-proxyer. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et plattformadministratorgrensesnitt på nodene for sertifikatadministrasjon og for å kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.
Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:
-
Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Trust Store & Proxy-konfigurasjonen til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.
-
Gjennomsiktig ikke-inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse og bør ikke kreve endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
-
Gjennomsiktig tunnelering eller inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjonen er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de stoler på proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
-
Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og godkjenningsskjema som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon på hver node:
-
Proxy-IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.
-
Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.
-
Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:
-
HTTP – viser og kontrollerer alle forespørsler som klienten sender.
-
HTTPS – Gir en kanal til serveren. Klienten mottar og validerer serverens sertifikat.
-
-
Godkjenningstype– velg blant følgende godkjenningstyper:
-
Ingen – ingen ytterligere godkjenning er nødvendig.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
-
Grunnleggende – Brukes for en HTTP-brukeragent til å oppgi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.
Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
-
Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.
Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.
Krever at du skriver inn brukernavn og passord for hver node.
-
-
Eksempel på noder og proxy for hybriddatasikkerhet
Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og eksplisitt HTTPS-inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.
Blokkert ekstern DNS-oppløsningsmodus (eksplisitte proxy-konfigurasjoner)
Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsning-modus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.
Klargjør miljøet ditt
Krav til hybriddatasikkerhet
Krav til Cisco Webex-lisens
Slik distribuerer du hybrid datasikkerhet:
-
Du må ha Pro Pack for Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)
Krav til Docker-skrivebord
Før du installerer HDS-nodene, trenger du Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig sin lisensieringsmodell. Organisasjonen din kan kreve et betalt abonnement på Docker Desktop. Hvis du vil ha mer informasjon, kan du se innlegget til Docker-bloggen, «Docker oppdaterer og utvider våre produktabonnementer».
X.509-sertifikatkrav
Sertifikatkjeden må oppfylle følgende krav:
Krav |
Detaljer |
---|---|
|
Som standard stoler vi på sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN trenger ikke å være tilgjengelig eller en direkte vert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel CN kan ikke inneholde et * (jokertegn). CN brukes til å bekrefte nodene for hybriddatasikkerhet til Webex-appklienter. Alle nodene for hybriddatasikkerhet i klyngen bruker det samme sertifikatet. KMS identifiserer seg selv ved hjelp av CN-domenet, ikke et domene som er definert i x.509v3 SAN-feltene. Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN-domenenavnet. Velg et domene som kan gjelde både for prøveversjons- og produksjonsdistribusjoner. |
|
KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjons KMS-er. |
|
Du kan bruke en konverter som OpenSSL til å endre sertifikatets format. Du må angi passordet når du kjører HDS-installasjonsverktøyet. |
KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifikatmyndigheter krever at utvidede nøkkelbruksbegrensninger brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.
Krav til virtuell vert
De virtuelle vertene som du vil konfigurere som Hybrid Data Security-noder i klyngen har følgende krav:
-
Minst to separate verter (3 anbefales) plassert i samme sikre datasenter
-
VMware ESXi 6.5 (eller nyere) installert og kjører.
Du må oppgradere hvis du har en tidligere versjon av ESXi.
-
Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokalt harddiskplass per server
Krav til databaseserver
Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene oppretter databaseskjemaet når de er installert.
Det finnes to alternativer for databaseserver. Kravene til hver av dem er som følger:
PostgreSql |
Microsoft SQL Server |
---|---|
|
|
Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at det ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) |
Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at det ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen) |
HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserveren:
PostgreSql |
Microsoft SQL Server |
---|---|
Postgres JDBC driver 42.2.5 |
SQL Server JDBC driver 4.6 Denne driverversjonen støtter SQL Server Always On (Always On Failover Cluster Instances og Always On Availability Groups). |
Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server
Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til Keystore-databasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:
-
HDS-nodene, Active Directory-infrastrukturen og MS SQL Server må alle synkroniseres med NTP.
-
Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.
-
DNS-serverne du leverer til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).
-
Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et tjenestehovednavn (SPN) i Active Directory. Se Registrer tjenestens hovednavn for Kerberos-tilkoblinger.
HDS-installasjonsverktøyet, HDS-oppstartsprogrammet og lokal KMS må bruke Windows-godkjenning for å få tilgang til nøkkelbutikkdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN-en når de ber om tilgang med Kerberos-godkjenning.
Krav til ekstern tilkobling
Konfigurer brannmuren slik at den tillater følgende tilkobling for HDS-programmene:
Applikasjon |
Protokoll |
Port |
Retning fra appen |
Destinasjon |
---|---|---|---|---|
Noder for hybriddatasikkerhet |
tcp |
443 |
Utgående HTTPS og WSS |
|
HDS-oppsettsverktøy |
tcp |
443 |
Utgående HTTPS |
|
Nodene for hybriddatasikkerhet fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmuren tillater de nødvendige utgående tilkoblingene til domenet-målene i tabellen ovenfor. Ingen porter skal være synlige fra Internett for tilkoblinger som går inn til nodene for hybriddatasikkerhet. I datasenteret trenger klienter tilgang til nodene for hybriddatasikkerhet på TCP-portene 443 og 22 av administrative grunner.
URL-adressene for Common Identity (CI)-vertene er områdespesifikke. Dette er de gjeldende CI-vertene:
Region |
URL-adresser for Common Identity Host |
---|---|
Nord-Amerika |
|
Den europeiske union |
|
Canada |
|
Krav til proxy-server
-
Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene for hybriddatasikkerhet.
-
Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).
-
Eksplisitt proxy – Squid.
Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre opprettelsen av websocket-tilkoblinger (wss:). Hvis du vil omgå dette problemet, kan du se Konfigurere Squid-proxyer for hybriddatasikkerhet.
-
-
Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:
-
Ingen godkjenning med HTTP eller HTTPS
-
Grunnleggende godkjenning med HTTP eller HTTPS
-
Digest-godkjenning kun med HTTPS
-
-
For en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne veiledningen forteller deg hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnodene.
-
Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.
-
Proxyer som inspiserer webtrafikk kan forstyrre Web Socket-tilkoblinger. Hvis dette problemet oppstår, vil det å omgå (ikke inspisere) trafikk til
wbx2.com
, ogciscospark.com
vil løse problemet.
Fullfør forutsetningene for hybrid datasikkerhet
1 |
Kontroller at Webex-organisasjonen er aktivert for Pro Pack for Cisco Webex Control Hub, og få legitimasjonen til en konto med fullstendige organisasjonsadministratorrettigheter. Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen. |
2 |
Velg et domenenavn for HDS-distribusjonen (for eksempel |
3 |
Klargjør identiske virtuelle verter som du vil konfigurere som Hybrid Data Security-noder i klyngen. Du trenger minst to separate verter (3 anbefales) plassert i samme sikre datasenter, som oppfyller kravene i Krav til virtuelle verter. |
4 |
Klargjør databaseserveren som skal fungere som nøkkeldatalager for klyngen, i henhold til Databaseserverkrav. Databaseserveren må være plassert i det sikre datasenteret med de virtuelle vertene. |
5 |
For rask katastrofegjenoppretting konfigurerer du et sikkerhetskopieringsmiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet til VM-er og en sikkerhetskopidatabaseserver. Hvis for eksempel produksjonen har 3 VM-er som kjører HDS-noder, skal sikkerhetskopieringsmiljøet ha 3 VM-er. |
6 |
Sett opp en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadressen og syslog-porten (standard er UDP 514). |
7 |
Opprett en sikker sikkerhetskopieringspolicy for nodene for hybriddatasikkerhet, databaseserveren og syslog-verten. For å forhindre ugjenopprettelig tap av data må du som minimum sikkerhetskopiere databasen og konfigurasjonsfilen som genereres for nodene for hybriddatasikkerhet. Fordi nodene for hybriddatasikkerhet lagrer nøklene som brukes til kryptering og dekryptering av innhold, vil manglende vedlikehold av en operativ distribusjon føre til UGJENOPPRETTELIG TAP av dette innholdet. Webex-appklienter bufrer nøklene sine, så det kan hende at et driftsbrudd ikke er umiddelbart merkbart, men vil bli tydelig over tid. Selv om midlertidige avbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopieringer tilgjengelig) av enten databasen eller konfigurasjons-ISO-filen vil imidlertid føre til ugjenopprettbare kundedata. Operatørene av nodene for hybriddatasikkerhet forventes å opprettholde hyppige sikkerhetskopieringer av databasen og konfigurasjonsfilen, og være forberedt på å gjenoppbygge datasenteret for hybriddatasikkerhet hvis det oppstår en katastrofal feil. |
8 |
Kontroller at brannmurkonfigurasjonen tillater tilkobling for hybriddatasikkerhetsnodene som beskrevet i Krav til ekstern tilkobling. |
9 |
Installer Docker ( https://www.docker.com) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til det på http://127.0.0.1:8080. Du bruker Docker-forekomsten til å laste ned og kjøre HDS-installasjonsverktøyet, som bygger den lokale konfigurasjonsinformasjonen for alle nodene for hybriddatasikkerhet. Organisasjonen din trenger kanskje en Docker Desktop-lisens. Se Krav til Docker Desktop for mer informasjon. For å installere og kjøre HDS-installasjonsverktøyet må den lokale maskinen ha tilkoblingen beskrevet i Krav til ekstern tilkobling. |
10 |
Hvis du integrerer en proxy med hybriddatasikkerhet, må du sørge for at den oppfyller kravene til proxy-serveren. |
11 |
Hvis organisasjonen bruker katalogsynkronisering, oppretter du en gruppe i Active Directory kalt Nøkler for et gitt område angis av skaperen av området. Når du velger pilotbrukere, må du huske at hvis du bestemmer deg for å deaktivere distribusjonen av hybriddatasikkerhet permanent, mister alle brukere tilgangen til innhold i områdene som ble opprettet av pilotbrukerne. Tapet blir synlig så snart brukernes apper oppdaterer sine bufrede kopier av innholdet. |
Konfigurere en hybrid datasikkerhetsklynge
Oppgaveflyt for distribusjon av hybrid datasikkerhet
Før du begynner
1 |
Utfør første konfigurasjon og last ned installasjonsfiler Last ned OVA-filen til din lokale maskin for senere bruk. |
2 |
Opprette en konfigurasjons-ISO for HDS-verter Bruk HDS-installasjonsverktøyet til å opprette en ISO-konfigurasjonsfil for nodene for hybriddatasikkerhet. |
3 |
Opprett en virtuell maskin fra OVA-filen og utfør første konfigurasjon, for eksempel nettverksinnstillinger. Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 6.5. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner. |
4 |
Konfigurere VM for hybriddatasikkerhet Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA ble distribuert. |
5 |
Laste opp og montere konfigurasjons-ISO for HDS Konfigurer VM fra ISO-konfigurasjonsfilen du opprettet med HDS-installasjonsverktøyet. |
6 |
Konfigurere HDS-noden for proxy-integrering Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du hvilken type proxy du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig. |
7 |
Registrer den første noden i klyngen Registrer VM med Cisco Webex-skyen som en hybrid datasikkerhetsnode. |
8 |
Opprette og registrere flere noder Fullfør klyngeoppsettet. |
9 |
Kjør en prøveversjon og flytt til produksjon (neste kapittel) Inntil du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten ennå ikke er aktivert. |
Last ned installasjonsfiler
1 |
Logg på https://admin.webex.com, og klikk deretter på Tjenester. |
2 |
Finn kortet for hybriddatasikkerhet under Hybridtjenester, og klikk deretter på Konfigurer. Hvis kortet er deaktivert eller du ikke ser det, kan du kontakte kontoteamet eller partnerorganisasjonen din. Gi dem kontonummeret ditt og be om å aktivere organisasjonen din for hybrid datasikkerhet. Hvis du vil finne kontonummeret, klikker du på tannhjulet øverst til høyre ved siden av organisasjonsnavnet. Du kan også laste ned OVA når som helst fra Hjelp -delen på Innstillinger -siden. Klikk på Rediger innstillinger på kortet for hybriddatasikkerhet for å åpne siden. Klikk deretter på Last ned programvare for hybriddatasikkerhet i Hjelp -delen. Eldre versjoner av programvarepakken (OVA) vil ikke være kompatible med de nyeste oppgraderingene for hybriddatasikkerhet. Dette kan føre til problemer under oppgradering av programmet. Sørg for at du laster ned den nyeste versjonen av OVA-filen. |
3 |
Velg Nei for å angi at du ikke har konfigurert noden ennå, og klikk deretter på Neste. OVA-filen begynner automatisk å lastes ned. Lagre filen på en plassering på maskinen.
|
4 |
Du kan eventuelt klikke på Åpne distribusjonsveiledning for å sjekke om det finnes en senere versjon av denne veiledningen. |
Opprette en konfigurasjons-ISO for HDS-verter
Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.
Før du begynner
-
HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administratorrettigheter for organisasjonen din.
Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i trinn 5. Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, for eksempel disse:
-
Databaselegitimasjon
-
Sertifikatoppdateringer
-
Endringer i godkjenningspolicyen
-
-
Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du distribusjonen av PostgreSQL eller SQL Server for TLS.
1 |
På maskinens kommandolinje angir du riktig kommando for miljøet: I vanlige miljøer: I FedRAMP-miljøer: Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere. | ||||||||||
2 |
Skriv inn følgende for å logge på Docker-bilderegisteret: | ||||||||||
3 |
Skriv inn denne hashen når du blir bedt om passord: | ||||||||||
4 |
Last ned det nyeste stabile bildet for miljøet ditt: I vanlige miljøer: I FedRAMP-miljøer: | ||||||||||
5 |
Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:
Når containeren kjører, ser du "Express server lytter på port 8080." | ||||||||||
6 |
Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost. Bruk en nettleser til å gå til localhost, Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding. | ||||||||||
7 |
Når du blir bedt om det, skriver du inn påloggingslegitimasjonen til kundeadministratoren for Control Hub, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet. | ||||||||||
8 |
Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet. | ||||||||||
9 |
På siden ISO-import har du disse alternativene:
| ||||||||||
10 |
Kontroller at X.509-sertifikatet oppfyller kravene i X.509-sertifikatkrav.
| ||||||||||
11 |
Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret: | ||||||||||
12 |
Velg en TLS-databasetilkoblingsmodus:
Når du laster opp rotsertifikatet (om nødvendig) og klikker på Fortsett, tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserveren. Verktøyet bekrefter også sertifikatsigneringen og vertsnavnet, hvis aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan HDS-nodene være i stand til å etablere TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.) | ||||||||||
13 |
På siden Systemlogger konfigurerer du Syslogd-serveren: | ||||||||||
14 |
(Valgfritt) Du kan endre standardverdien for noen parametere for databasetilkobling i Avanserte innstillinger. Generelt er denne parameteren den eneste du kanskje vil endre: | ||||||||||
15 |
Klikk på Fortsett på skjermen Tilbakestill passord for tjenestekontoer . Passord for tjenestekontoen har en levetid på ni måneder. Bruk dette skjermbildet når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem til å ugyldiggjøre tidligere ISO-filer. | ||||||||||
16 |
Klikk på Last ned ISO-fil. Lagre filen på et sted som er lett å finne. | ||||||||||
17 |
Ta en sikkerhetskopi av ISO-filen på ditt lokale system. Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer. | ||||||||||
18 |
Hvis du vil slå av installasjonsverktøyet, skriver du inn |
Hva du skal gjøre nå
Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.
Vi har aldri en kopi av denne nøkkelen og kan ikke hjelpe hvis du mister den.
Installere HDS Host OVA
1 |
Bruk VMware vSphere-klienten på datamaskinen for å logge på den virtuelle ESXi-verten. |
2 |
Velg Fil > Distribuer OVF-mal. |
3 |
I veiviseren angir du plasseringen til OVA-filen du lastet ned tidligere, og klikker deretter på Neste. |
4 |
På siden Velg et navn og mappe skriver du inn et Virtuelt maskinnavn for noden (for eksempel «HDS_Node_1»), velger et sted der den virtuelle maskinnodedistribusjonen kan ligge, og klikker deretter på Neste. |
5 |
På siden Velg en beregningsressurs velger du destinasjonsberegningsressursen, og klikker deretter på Neste. En valideringskontroll kjører. Når den er ferdig, vises maldetaljene. |
6 |
Bekreft maldetaljene, og klikk deretter på Neste. |
7 |
Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon -siden, klikker du på 4 CPU og klikker deretter på Neste. |
8 |
På siden Velg lagring klikker du på Neste for å godta standard diskformat og retningslinjer for lagring av VM. |
9 |
På siden Velg nettverk velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til VM-en. |
10 |
Konfigurer følgende nettverksinnstillinger på siden Tilpass mal :
Hvis du vil, kan du hoppe over konfigurasjonen av nettverksinnstillingene og følge trinnene i Konfigurere VM for hybriddatasikkerhet for å konfigurere innstillingene fra nodekonsollen. Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 6.5. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner. |
11 |
Høyreklikk på noden VM, og velg deretter .Programvaren for hybrid datasikkerhet installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden. Feilsøkingstips Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen under første oppstart, hvor du ikke kan logge på. |
Konfigurere VM for hybriddatasikkerhet
Bruk denne fremgangsmåten til å logge på VM-konsollen for hybriddatasikkerhetsnoden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA ble distribuert.
1 |
I VMware vSphere-klienten velger du den hybride datasikkerhetsnoden VM og velger fanen Konsoll . VM starter opp og en melding om pålogging vises. Hvis meldingen om pålogging ikke vises, trykker du på Enter.
|
2 |
Bruk følgende standard pålogging og passord for å logge på og endre legitimasjonen: Siden du logger på VM for første gang, må du endre administratorpassordet. |
3 |
Hvis du allerede har konfigurert nettverksinnstillingene i Installer HDS Host OVA, hopper du over resten av denne prosedyren. Hvis ikke, velger du alternativet Rediger konfigurasjon i hovedmenyen. |
4 |
Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke. |
5 |
(Valgfritt) Endre vertsnavnet, domenet eller NTP-serveren(e) om nødvendig for å samsvare med nettverkspolicyen. Du trenger ikke å angi domenet til å samsvare med domenet du brukte til å skaffe X.509-sertifikatet. |
6 |
Lagre nettverkskonfigurasjonen og start VM på nytt slik at endringene trer i kraft. |
Laste opp og montere konfigurasjons-ISO for HDS
Før du begynner
Fordi ISO-filen innehar hovednøkkelen, bør den bare eksponeres på "trenger å vite"-basis, for tilgang for virtuelle maskiner for hybriddatasikkerhet og eventuelle administratorer som må gjøre endringer. Sørg for at bare disse administratorene har tilgang til datalageret.
1 |
Last opp ISO-filen fra datamaskinen: |
2 |
Montere ISO-fil: |
Hva du skal gjøre nå
Hvis IT-policyen krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene har plukket opp konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.
Konfigurere HDS-noden for proxy-integrering
Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybrid datasikkerhet. Hvis du velger en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet, og feilsøke eventuelle problemer.
Før du begynner
-
Se Proxy-støtte for en oversikt over proxy-alternativene som støttes.
1 |
Skriv inn URL-adressen for HDS-nodeoppsett |
2 |
Gå til Klareringslager og proxy, og velg deretter et alternativ:
Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en eksplisitt HTTP-proxy med grunnleggende godkjenning eller en eksplisitt HTTPS-proxy. |
3 |
Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen. Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på chevron-pilen ved navnet på sertifikatutstederen for å få mer informasjon, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt. |
4 |
Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen. Hvis tilkoblingstesten mislykkes, får du en feilmelding som viser årsaken og hvordan du kan løse problemet. Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne tilstanden forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene og ser Slå av blokkert ekstern DNS-oppløsningsmodus. |
5 |
Etter at tilkoblingstesten er bestått, bare for eksplisitt proxy satt til https, slår du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen tar 15 sekunder før den trer i kraft. |
6 |
Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en eksplisitt HTTP-proxy), les ledeteksten og klikk deretter på Installer hvis du er klar. Noden starter på nytt innen noen få minutter. |
7 |
Etter at noden har startet på nytt, logger du på igjen om nødvendig og åpner deretter Oversikt -siden for å sjekke tilkoblingskontrollene for å sikre at alle er i grønn status. Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det oppstår tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen. |
Registrer den første noden i klyngen
Når du registrerer din første node, oppretter du en klynge som noden er tilordnet til. En klynge inneholder én eller flere noder som er distribuert for å gi redundans.
Før du begynner
-
Når du begynner å registrere en node, må du fullføre den innen 60 minutter, eller du må starte på nytt.
-
Sørg for at eventuelle popup-blokkere i nettleseren er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 |
Logg på https://admin.webex.com. |
2 |
Velg Tjenester fra menyen til venstre på skjermen. |
3 |
Under Hybridtjenester finner du Hybriddatasikkerhet og klikker på Konfigurer. Siden Register Hybrid Data Security Node vises.
|
4 |
Velg Ja for å angi at du har konfigurert noden og er klar til å registrere den, og klikk deretter på Neste. |
5 |
I det første feltet skriver du inn et navn på klyngen du vil tilordne din hybride datasikkerhetsnode til. Vi anbefaler at du navngir en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas" |
6 |
I det andre feltet skriver du inn den interne IP-adressen eller det fullstendige domenenavnet (FQDN) til noden og klikker på Neste. Denne IP-adressen eller FQDN skal samsvare med IP-adressen eller vertsnavnet og domenet du brukte i Konfigurere VM for hybriddatasikkerhet. Det vises en melding som angir at du kan registrere noden din til Webex.
|
7 |
Klikk på Gå til node. |
8 |
Klikk på Fortsett i advarselsmeldingen. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelse til Webex-organisasjonen din for å få tilgang til noden din.
|
9 |
Merk av i avkrysningsboksen Gi tilgang til din hybride datasikkerhetsnode , og klikk deretter på Fortsett. Kontoen din er validert, og meldingen «Registreringen er fullført» indikerer at noden din nå er registrert i Webex-skyen.
|
10 |
Klikk på koblingen eller lukk fanen for å gå tilbake til siden for hybriddatasikkerhet i Control Hub. På siden Hybriddatasikkerhet vises den nye klyngen som inneholder noden du registrerte. Noden vil automatisk laste ned den nyeste programvaren fra skyen.
|
Opprette og registrere flere noder
For øyeblikket er sikkerhetskopieringsmaskinene du opprettet i Fullfør forutsetningene for hybrid datasikkerhet standby-verter som bare brukes i tilfelle katastrofegjenoppretting. De er ikke registrert i systemet før da. Hvis du vil ha mer informasjon, se Katastrofegjenoppretting ved hjelp av Standby Data Center.
Før du begynner
-
Når du begynner å registrere en node, må du fullføre den innen 60 minutter, eller du må starte på nytt.
-
Sørg for at eventuelle popup-blokkere i nettleseren er deaktivert, eller at du tillater et unntak for admin.webex.com.
1 |
Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA. |
2 |
Konfigurer den første konfigurasjonen på den nye VM-en, og gjenta trinnene i Konfigurer VM for hybriddatasikkerhet. |
3 |
På den nye VM gjentar du trinnene i Last opp og monter HDS-konfigurasjons-ISO. |
4 |
Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrasjon etter behov for den nye noden. |
5 |
Registrer noden. Noden din er registrert. Vær oppmerksom på at nodene vil generere en alarm til du starter en prøveversjon som indikerer at tjenesten ennå ikke er aktivert.
|
Hva du skal gjøre nå
Kjør en prøveversjon og gå til produksjon
Prøveversjon til produksjonsoppgaveflyt
Når du har konfigurert en Hybrid Data Security-klynge, kan du starte en pilot, legge til brukere i den og begynne å bruke den til testing og bekreftelse av distribusjonen som forberedelse til å gå over til produksjon.
Før du begynner
1 |
Hvis aktuelt, synkroniserer du Hvis organisasjonen bruker katalogsynkronisering for brukere, må du velge |
2 |
Start en prøveversjon. Inntil du gjør denne oppgaven, genererer nodene en alarm som indikerer at tjenesten ennå ikke er aktivert. |
3 |
Test distribusjonen av hybrid datasikkerhet Kontroller at viktige forespørsler sendes til distribusjonen av hybriddatasikkerhet. |
4 |
Overvåk sikkerhets helse for hybriddata Sjekk status og konfigurer e-postvarsler for alarmer. |
5 | |
6 |
Fullfør prøvefasen med én av følgende handlinger: |
Aktiver prøveversjon
Før du begynner
Hvis organisasjonen bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup
-gruppeobjektet for synkronisering til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil ha instruksjoner, kan du se Distribusjonsveiledning for Cisco-registerkobling.
1 |
Logg på https://admin.webex.com, og velg deretter Tjenester. |
2 |
Klikk på Innstillinger under Hybriddatasikkerhet. |
3 |
I delen Tjenestestatus klikker du på Start prøveversjon. Tjenestestatusen endres til prøvemodus.
|
4 |
Klikk på Legg til brukere og skriv inn e-postadressen til én eller flere brukere for å pilotere bruken av hybriddatasikkerhetsnodene for kryptering og indeksering av tjenester. (Hvis organisasjonen bruker katalogsynkronisering, bruker du Active Directory til å administrere prøveversjonsgruppen, |
Test distribusjonen av hybrid datasikkerhet
Før du begynner
-
Konfigurer distribusjonen av hybrid datasikkerhet.
-
Aktiver prøveversjonen og legg til flere prøvebrukere.
-
Sørg for at du har tilgang til syslog for å bekrefte at viktige forespørsler sendes til distribusjonen av hybriddatasikkerhet.
1 |
Nøkler for et gitt område angis av skaperen av området. Logg på Webex-appen som en av pilotbrukerne, og opprett deretter et område og inviter minst én pilotbruker og én ikke-pilotbruker. Hvis du deaktiverer distribusjonen av hybriddatasikkerhet, er ikke innhold i områder som pilotbrukere oppretter, lenger tilgjengelig når de klientbufrede kopiene av krypteringsnøklene er erstattet. |
2 |
Send meldinger til det nye området. |
3 |
Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til distribusjonen av hybriddatasikkerhet. |
Overvåk sikkerhets helse for hybriddata
1 |
I Control Hub velger du Tjenester fra menyen til venstre på skjermen. |
2 |
Under Hybridtjenester finner du Hybriddatasikkerhet og klikker på Innstillinger. Siden Innstillinger for hybriddatasikkerhet vises.
|
3 |
Skriv inn én eller flere e-postadresser atskilt med komma i delen E-postvarsler, og trykk på Enter. |
Legge til eller fjerne brukere fra prøveversjonen
Hvis du fjerner en bruker fra prøveversjonen, vil brukerens klient be om nøkler og nøkkeloppretting fra skyens KMS i stedet for din KMS. Hvis klienten trenger en nøkkel som er lagret på din KMS, henter skyen KMS den på brukerens vegne.
Hvis organisasjonen bruker katalogsynkronisering, bruker du Active Directory (i stedet for denne fremgangsmåten) til å administrere prøveversjonsgruppen, HdsTrialGroup
. Du kan vise gruppemedlemmene i Control Hub, men kan ikke legge til eller fjerne dem.
1 |
Logg på Control Hub, og velg deretter Tjenester. |
2 |
Klikk på Innstillinger under Hybriddatasikkerhet. |
3 |
I delen Prøvemodus i området Tjenestestatus klikker du på Legg til brukere, eller klikker på Vis og rediger for å fjerne brukere fra prøveversjonen. |
4 |
Skriv inn e-postadressen til én eller flere brukere som skal legges til, eller klikk på X ved en bruker-ID for å fjerne brukeren fra prøveversjonen. Klikk deretter på Lagre. |
Gå fra prøveversjon til produksjon
1 |
Logg på Control Hub, og velg deretter Tjenester. |
2 |
Klikk på Innstillinger under Hybriddatasikkerhet. |
3 |
I delen Tjenestestatus klikker du på Flytt til produksjon. |
4 |
Bekreft at du vil flytte alle brukerne dine til produksjon. |
Avslutt prøveperioden uten å gå til produksjon
1 |
Logg på Control Hub, og velg deretter Tjenester. |
2 |
Klikk på Innstillinger under Hybriddatasikkerhet. |
3 |
Klikk på Deaktiver under Deaktiver-delen. |
4 |
Bekreft at du vil deaktivere tjenesten og avslutte prøveversjonen. |
Administrer HDS-distribusjonen
Administrer HDS-distribusjon
Bruk oppgavene som er beskrevet her for å administrere distribusjonen av hybriddatasikkerhet.
Angi tidsplan for klyngeoppgradering
Slik angir du oppgraderingsplanen:
1 |
Logg på Control Hub. |
2 |
Velg Hybriddatasikkerhet under Hybridtjenester på Oversikt-siden. |
3 |
Velg klyngen på siden Hybrid Data Security Resources. |
4 |
Velg klyngenavnet under Klyngeinnstillinger i Oversikt-panelet til høyre. |
5 |
Velg klokkeslett og tidssone for oppgraderingsplanen på siden Innstillinger under Oppgradering. Merk: Under tidssonen vises neste tilgjengelige oppgraderingsdato og -klokkeslett. Du kan utsette oppgraderingen til neste dag ved å klikke på Utsett. |
Endre nodekonfigurasjonen
-
Endring av x.509-sertifikater på grunn av utløp eller andre årsaker.
Vi støtter ikke endring av CN-domenenavnet for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.
-
Oppdaterer databaseinnstillinger for å endre til en kopi av PostgreSQL- eller Microsoft SQL Server-databasen.
Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt måte. Start en ny distribusjon av hybriddatasikkerhet for å bytte databasemiljøet.
-
Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.
Av sikkerhetshensyn bruker Hybrid Data Security også passord for tjenestekontoer som har en levetid på ni måneder. Når HDS-installasjonsverktøyet har generert disse passordene, distribuerer du dem til hver av HDS-nodene i ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløpsdato, mottar du et varsel fra Webex-teamet om å tilbakestille passordet for maskinkontoen din. (E-posten inneholder teksten "Bruk maskinkontoens API til å oppdatere passordet.") Hvis passordene dine ikke er utløpt ennå, gir verktøyet deg to alternativer:
-
Myk tilbakestilling– De gamle og de nye passordene fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.
-
Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.
Hvis passordene utløper uten tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.
Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.
Før du begynner
-
HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administratorrettigheter for organisasjonen din.
Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i 1.e. Denne tabellen viser noen mulige miljøvariabler:
Beskrivelse
Variabel
HTTP-proxy uten autentisering
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
HTTPS-proxy uten autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
HTTP-proxy med autentisering
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
HTTPS-proxy med autentisering
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i godkjenningspolicyen.
1 |
Kjør HDS-installasjonsverktøyet ved hjelp av Docker på en lokal maskin. |
2 |
Hvis du bare kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den ved hjelp av den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, kan du se Opprette og registrere flere noder. |
3 |
Montere ISO-filen for eksisterende HDS-noder som kjører den eldre konfigurasjonsfilen. Utfør følgende prosedyre på hver node igjen, og oppdater hver node før du slår av neste node: |
4 |
Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen. |
Slå av blokkert ekstern DNS-oppløsningsmodus
Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modus for blokkert ekstern DNS-oppløsning.
Hvis nodene dine kan løse offentlige DNS-navn gjennom interne DNS-servere, kan du slå av denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.
Før du begynner
1 |
Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/oppsett, for eksempel https://192.0.2.0/setup), angi administratorlegitimasjonen du har konfigurert for noden, og klikk deretter på Logg på. |
2 |
Gå til Oversikt (standardsiden). Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja. |
3 |
Gå til siden Klareringslager og proxy . |
4 |
Klikk på Kontroller proxy-tilkobling. Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og vil forbli i denne modusen. Hvis ikke, etter at du har startet noden på nytt og gått tilbake til Oversikt -siden, skal Blokkert ekstern DNS-oppløsning settes til Nei. |
Hva du skal gjøre nå
Fjerne en node
1 |
Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuelle maskinen. |
2 |
Fjern noden: |
3 |
Slett VM-en i vSphere-klienten. (Høyreklikk på VM i venstre navigasjonsrute, og klikk på Slett.) Hvis du ikke sletter VM-en, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke VM til å få tilgang til sikkerhetsdataene dine. |
Katastrofegjenoppretting ved hjelp av standbydatasenter
Den mest kritiske tjenesten som din hybride datasikkerhetsklynge tilbyr, er oppretting og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet hybriddatasikkerhet, rutes nye forespørsler om nøkkeloppretting til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.
Fordi klyngen utfører den kritiske funksjonen med å levere disse nøklene, er det viktig at klyngen forblir i drift og at riktige sikkerhetskopier opprettholdes. Tap av hybriddatasikkerhetsdatabasen eller konfigurasjons-ISO som brukes for skjemaet, vil føre til UGJENOPPRETTELIG TAP av kundeinnhold. Følgende fremgangsmåter er obligatoriske for å forhindre et slikt tap:
Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenteret blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til standbydatasenteret.
1 |
Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-verter. |
2 |
Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger |
3 |
På siden Avanserte innstillinger legger du til konfigurasjonen nedenfor eller fjerner
|
4 |
Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne. |
5 |
Ta en sikkerhetskopi av ISO-filen på ditt lokale system. Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer. |
6 |
Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.. |
7 |
Klikk på Rediger innstillinger >CD/DVD-stasjon 1 og velg ISO-fil for datalager. Kontroller at Tilkoblet og Koble til ved påslått er merket av slik at oppdaterte konfigurasjonsendringer kan tre i kraft etter at nodene er startet. |
8 |
Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 15 minutter. |
9 |
Gjenta prosessen for hver node i standbydatasenteret. Kontroller syslog-utdataene for å bekrefte at nodene i standby-datasenteret ikke er i passiv modus. «KMS konfigurert i passiv modus» skal ikke vises i syslogger. |
Hva du skal gjøre nå
(Valgfritt) Fjern ISO etter HDS-konfigurasjon
Standard HDS-konfigurasjon kjøres med ISO-montert. Men noen kunder foretrekker ikke å forlate ISO-filer kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-nodene har tatt opp den nye konfigurasjonen.
Du bruker fortsatt ISO-filene til å foreta konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO gjennom installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en igjen med denne fremgangsmåten.
Før du begynner
Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.
1 |
Slå av en av HDS-nodene dine. |
2 |
Velg HDS-noden i vCenter Server Appliance. |
3 |
Velg ISO-fil for datalager. og fjern merket for |
4 |
Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 20 minutter. |
5 |
Gjenta for hver HDS-node i sin tur. |
Feilsøke hybrid datasikkerhet
Vis varsler og feilsøking
En distribusjon av hybriddatasikkerhet anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller klyngen fungerer så sakte at forespørslene blir tidsavbrutt. Hvis brukere ikke kan nå din hybride datasikkerhetsklynge, opplever de følgende symptomer:
-
Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)
-
Meldinger og områdetitler kan ikke dekrypteres for:
-
Nye brukere lagt til i et område (kan ikke hente nøkler)
-
Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)
-
-
Eksisterende brukere i et område vil fortsette å kjøre vellykket så lenge klientene deres har en hurtigbuffer med krypteringsnøklene
Det er viktig at du overvåker den hybride datasikkerhetsklyngen riktig og adresserer eventuelle varsler umiddelbart for å unngå tjenesteavbrudd.
Varsler
Hvis det er et problem med oppsettet av hybriddatasikkerhet, viser Control Hub varsler til organisasjonens administrator og sender e-poster til den konfigurerte e-postadressen. Varslene dekker mange vanlige scenarier.
Varsel |
Handling |
---|---|
Feil ved tilgang til lokal database. |
Se etter databasefeil eller lokale nettverksproblemer. |
Feil ved lokal databasetilkobling. |
Kontroller at databaseserveren er tilgjengelig, og at riktig tjenestekontolegitimasjon ble brukt i nodekonfigurasjonen. |
Feil ved tilgang til skytjeneste. |
Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling. |
Fornye registrering av skytjeneste. |
Registrering til skytjenester ble avbrutt. Fornyelse av registrering pågår. |
Registrering av skytjeneste avbrutt. |
Registrering til skytjenester avsluttet. Tjenesten er stengt. |
Tjenesten er ikke aktivert ennå. |
Aktiver en prøveversjon, eller fullfør flytting av prøveversjonen til produksjon. |
Konfigurert domene samsvarer ikke med serversertifikatet. |
Kontroller at serversertifikatet samsvarer med det konfigurerte tjenesteaktiveringsdomenet. Den mest sannsynlige årsaken er at sertifikatets CN nylig ble endret og nå er forskjellig fra CN som ble brukt under den første installasjonen. |
Kunne ikke autentisere seg til skytjenester. |
Sjekk for nøyaktighet og mulig utløp av legitimasjon for tjenestekontoen. |
Kunne ikke åpne lokal nøkkelbutikkfil. |
Kontroller integritet og passordnøyaktighet på den lokale nøkkelbutikkfilen. |
Det lokale serversertifikatet er ugyldig. |
Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans. |
Kan ikke legge ut måledata. |
Kontroller lokal nettverkstilgang til eksterne skytjenester. |
/media/configdrive/hds-katalog finnes ikke. |
Kontroller konfigurasjonen av ISO-monteringen på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å monteres ved omstart, og at den monteres. |
Feilsøke hybrid datasikkerhet
1 |
Se gjennom Control Hub for eventuelle varsler og fikse eventuelle elementer du finner der. |
2 |
Se gjennom syslog-serverens utdata for aktivitet fra distribusjonen av hybriddatasikkerhet. |
3 |
Kontakt Ciscos kundestøtte. |
Andre merknader
Kjente problemer for hybrid datasikkerhet
-
Hvis du avslutter klyngen for hybriddatasikkerhet (ved å slette den i Control Hub eller ved å avslutte alle noder), mister konfigurasjons-ISO-filen eller mister tilgangen til nøkkellagerdatabasen, kan ikke brukerne av Webex-appen lenger bruke områder under Personer-listen sin som ble opprettet med nøkler fra KMS. Dette gjelder både prøveversjons- og produksjonsdistribusjoner. Vi har for øyeblikket ingen løsning eller løsning på dette problemet, og vi oppfordrer deg til ikke å avslutte HDS-tjenestene når de håndterer aktive brukerkontoer.
-
En klient som har en eksisterende ECDH-tilkobling til en KMS opprettholder denne tilkoblingen i en tidsperiode (sannsynligvis én time). Når en bruker blir medlem av en prøveversjon av hybrid datasikkerhet, fortsetter brukerens klient å bruke den eksisterende ECDH-tilkoblingen til den tidsavbrytes. Alternativt kan brukeren logge av og på Webex-appen igjen for å oppdatere plasseringen som appen kontakter for krypteringsnøkler.
Den samme atferden oppstår når du flytter en prøveversjon til produksjon for organisasjonen. Alle ikke-prøveversjonsbrukere med eksisterende ECDH-tilkoblinger til de tidligere datasikkerhetstjenestene vil fortsette å bruke disse tjenestene til ECDH-tilkoblingen blir forhandlet på nytt (gjennom tidsavbrudd eller ved å logge av og på igjen).
Bruk OpenSSL til å generere en PKCS12-fil
Før du begynner
-
OpenSSL er et verktøy som kan brukes til å lage PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi støtter ikke eller fremmer en måte fremfor en annen.
-
Hvis du velger å bruke OpenSSL, tilbyr vi denne prosedyren som en veiledning for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i X.509-sertifikatkrav. Forstå disse kravene før du fortsetter.
-
Installer OpenSSL i et støttet miljø. Se https://www.openssl.org for programvare og dokumentasjon.
-
Opprett en privat nøkkel.
-
Start denne prosedyren når du mottar serversertifikatet fra Certificate Authority (CA).
1 |
Når du mottar serversertifikatet fra din CA, lagrer du det som |
2 |
Vis sertifikatet som tekst og bekreft detaljene.
|
3 |
Bruk et tekstredigeringsprogram til å opprette en sertifikatbuntfil kalt
|
4 |
Opprett .p12-filen med det vennlige navnet
|
5 |
Kontroller serversertifikatdetaljene. |
Hva du skal gjøre nå
Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet. Du bruker hdsnode.p12
-filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-verter.
Du kan bruke disse filene på nytt for å be om et nytt sertifikat når det opprinnelige sertifikatet utløper.
Trafikk mellom HDS-nodene og skyen
Utgående metrikkinnsamlingstrafikk
Nodene for hybriddatasikkerhet sender visse målinger til Webex-skyen. Disse inkluderer systemmålinger for maks. heap, heap brukt, CPU-belastning og antall tråder, målinger på synkrone og asynkrone tråder, målinger på varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller lengde på en forespørselskø, målinger på datalageret og krypteringstilkoblingsmålinger. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).
Innkommende trafikk
Nodene for hybriddatasikkerhet mottar følgende typer innkommende trafikk fra Webex-skyen:
-
Krypteringsforespørsler fra klienter som rutes av krypteringstjenesten
-
Oppgraderinger til nodeprogramvaren
Konfigurere Squid-proxyer for hybriddatasikkerhet
Websocket kan ikke koble til via Squid-proxy
Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av websocket-tilkoblinger (wss:
) som hybriddatasikkerhet krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss:
trafikk for riktig drift av tjenestene.
Squid 4 og 5
Legg til on_unsupported_protocol
direktivet i squid.conf
:
on_unsupported_protocol tunnel alle
Squid 3.5.27
Vi testet hybriddatasikkerhet med følgende regler lagt til i squid.conf
. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.
acl wssMercuryConnection ssl::server_name_regex mercury-tilkobling ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump titte step1 alle ssl_bump stirre step2 alle ssl_bump bump step3 alle