Du kan legge merke til at noen artikler viser innhold inkonsekvent. Vi beklager rotet – vi oppdaterer nettstedet vårt.
cross icon
I denne artikkelen
dropdown icon
Forord
    Ny og endret informasjon
    dropdown icon
    Kom i gang med Hybrid Data Security
      Oversikt over hybrid datasikkerhet
        dropdown icon
        Arkitektur for sikkerhetsriket
          Separasjonsområder (uten hybrid datasikkerhet)
        Samarbeide med andre organisasjoner
          Forventninger for distribusjon av hybrid datasikkerhet
            Konfigurasjonsprosess på høyt nivå
              dropdown icon
              Hybrid distribusjonsmodell for datasikkerhet
                Hybrid distribusjonsmodell for datasikkerhet
              Prøveversjonsmodus for hybrid datasikkerhet
                dropdown icon
                Datasenter i ventemodus for katastrofegjenoppretting
                  Konfigurere datasenter i ventemodus for katastrofegjenoppretting
                Proxy-støtte
                dropdown icon
                Forbered miljøet ditt
                  dropdown icon
                  Krav for hybrid datasikkerhet
                    Lisenskrav for Cisco Webex
                    Krav til Docker-skrivebord
                    Krav til X.509-sertifikater
                    Krav til virtuell vert
                    Krav til databaseserver
                    Krav til ekstern tilkobling
                    Krav til proxy-server
                  Fullfør forutsetningene for hybrid datasikkerhet
                  dropdown icon
                  Konfigurer en hybrid datasikkerhetsklynge
                    Oppgaveflyt for distribusjon av hybrid datasikkerhet
                      Last ned installasjonsfiler
                        Opprett en konfigurasjons-ISO for HDS-vertene
                          Installer HDS Host OVA
                            Konfigurer den virtuelle hybriddatasikkerhetsmaskinen
                              Last opp og monter HDS-konfigurasjons-ISO
                                Konfigurer HDS-noden for proxy-integrering
                                  Registrer den første noden i klyngen
                                    Opprett og registrer flere noder
                                    dropdown icon
                                    Kjør en prøveversjon og gå til produksjon
                                      Oppgaveflyt fra prøveversjon til produksjon
                                        Aktiver prøveversjon
                                          Test hybriddistribusjonen av datasikkerhet
                                            Overvåke helse for hybrid datasikkerhet
                                              Legg til eller fjern brukere fra prøveversjonen
                                                Gå fra prøveversjon til produksjon
                                                  Avslutt prøveversjonen uten å gå til produksjon
                                                  dropdown icon
                                                  Administrer HDS-distribusjonen
                                                    Behandle HDS-distribusjon
                                                      Angi tidsplan for klyngeoppgradering
                                                        Endre nodekonfigurasjonen
                                                          Slå av blokkert ekstern DNS-oppløsningsmodus
                                                            Fjerne en node
                                                              Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus
                                                                (Valgfritt) Avmonter ISO etter HDS-konfigurasjon
                                                                dropdown icon
                                                                Feilsøke hybrid datasikkerhet
                                                                  Vis varsler og feilsøking
                                                                    dropdown icon
                                                                    Varsler
                                                                      Vanlige problemer og fremgangsmåten for å løse dem
                                                                    Feilsøke hybrid datasikkerhet
                                                                    dropdown icon
                                                                    Andre merknader
                                                                      Kjente problemer med hybrid datasikkerhet
                                                                        Bruk OpenSSL til å generere en PKCS12-fil
                                                                          Trafikk mellom HDS-nodene og skyen
                                                                            dropdown icon
                                                                            Konfigurer Squid-proxyer for hybrid datasikkerhet
                                                                              Websocket kan ikke koble til via Squid Proxy
                                                                          I denne artikkelen
                                                                          cross icon
                                                                          dropdown icon
                                                                          Forord
                                                                            Ny og endret informasjon
                                                                            dropdown icon
                                                                            Kom i gang med Hybrid Data Security
                                                                              Oversikt over hybrid datasikkerhet
                                                                                dropdown icon
                                                                                Arkitektur for sikkerhetsriket
                                                                                  Separasjonsområder (uten hybrid datasikkerhet)
                                                                                Samarbeide med andre organisasjoner
                                                                                  Forventninger for distribusjon av hybrid datasikkerhet
                                                                                    Konfigurasjonsprosess på høyt nivå
                                                                                      dropdown icon
                                                                                      Hybrid distribusjonsmodell for datasikkerhet
                                                                                        Hybrid distribusjonsmodell for datasikkerhet
                                                                                      Prøveversjonsmodus for hybrid datasikkerhet
                                                                                        dropdown icon
                                                                                        Datasenter i ventemodus for katastrofegjenoppretting
                                                                                          Konfigurere datasenter i ventemodus for katastrofegjenoppretting
                                                                                        Proxy-støtte
                                                                                        dropdown icon
                                                                                        Forbered miljøet ditt
                                                                                          dropdown icon
                                                                                          Krav for hybrid datasikkerhet
                                                                                            Lisenskrav for Cisco Webex
                                                                                            Krav til Docker-skrivebord
                                                                                            Krav til X.509-sertifikater
                                                                                            Krav til virtuell vert
                                                                                            Krav til databaseserver
                                                                                            Krav til ekstern tilkobling
                                                                                            Krav til proxy-server
                                                                                          Fullfør forutsetningene for hybrid datasikkerhet
                                                                                          dropdown icon
                                                                                          Konfigurer en hybrid datasikkerhetsklynge
                                                                                            Oppgaveflyt for distribusjon av hybrid datasikkerhet
                                                                                              Last ned installasjonsfiler
                                                                                                Opprett en konfigurasjons-ISO for HDS-vertene
                                                                                                  Installer HDS Host OVA
                                                                                                    Konfigurer den virtuelle hybriddatasikkerhetsmaskinen
                                                                                                      Last opp og monter HDS-konfigurasjons-ISO
                                                                                                        Konfigurer HDS-noden for proxy-integrering
                                                                                                          Registrer den første noden i klyngen
                                                                                                            Opprett og registrer flere noder
                                                                                                            dropdown icon
                                                                                                            Kjør en prøveversjon og gå til produksjon
                                                                                                              Oppgaveflyt fra prøveversjon til produksjon
                                                                                                                Aktiver prøveversjon
                                                                                                                  Test hybriddistribusjonen av datasikkerhet
                                                                                                                    Overvåke helse for hybrid datasikkerhet
                                                                                                                      Legg til eller fjern brukere fra prøveversjonen
                                                                                                                        Gå fra prøveversjon til produksjon
                                                                                                                          Avslutt prøveversjonen uten å gå til produksjon
                                                                                                                          dropdown icon
                                                                                                                          Administrer HDS-distribusjonen
                                                                                                                            Behandle HDS-distribusjon
                                                                                                                              Angi tidsplan for klyngeoppgradering
                                                                                                                                Endre nodekonfigurasjonen
                                                                                                                                  Slå av blokkert ekstern DNS-oppløsningsmodus
                                                                                                                                    Fjerne en node
                                                                                                                                      Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus
                                                                                                                                        (Valgfritt) Avmonter ISO etter HDS-konfigurasjon
                                                                                                                                        dropdown icon
                                                                                                                                        Feilsøke hybrid datasikkerhet
                                                                                                                                          Vis varsler og feilsøking
                                                                                                                                            dropdown icon
                                                                                                                                            Varsler
                                                                                                                                              Vanlige problemer og fremgangsmåten for å løse dem
                                                                                                                                            Feilsøke hybrid datasikkerhet
                                                                                                                                            dropdown icon
                                                                                                                                            Andre merknader
                                                                                                                                              Kjente problemer med hybrid datasikkerhet
                                                                                                                                                Bruk OpenSSL til å generere en PKCS12-fil
                                                                                                                                                  Trafikk mellom HDS-nodene og skyen
                                                                                                                                                    dropdown icon
                                                                                                                                                    Konfigurer Squid-proxyer for hybrid datasikkerhet
                                                                                                                                                      Websocket kan ikke koble til via Squid Proxy
                                                                                                                                                  Distribusjonsveiledning for Webex Hybrid Data Security
                                                                                                                                                  list-menuI denne artikkelen
                                                                                                                                                  Forord

                                                                                                                                                  Ny og endret informasjon

                                                                                                                                                  Dato

                                                                                                                                                  Endringer gjort

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  7. august 2023

                                                                                                                                                  23. mai 2023

                                                                                                                                                  6. desember 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop må kjøre et installasjonsprogram før du kan installere HDS-noder. Se Krav til Docker-skrivebord .

                                                                                                                                                  24. juni 2021

                                                                                                                                                  Merk at du kan bruke den private nøkkelfilen og CSR-en på nytt for å be om et annet sertifikat. Se Bruk OpenSSL til å generere en PKCS12-fil for detaljer.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Endret VM-kravet for lokal harddiskplass til 30 GB. Se Krav til virtuell vert for detaljer.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  HDS-installasjonsverktøyet kan nå kjøres bak en proxy. Se Opprett en konfigurasjons-ISO for HDS-vertene for detaljer.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS kan nå kjøres uten en montert ISO-fil. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Lagt til informasjon om HDS-oppsettverktøy og proxyer til Opprett en konfigurasjons-ISO for HDS-vertene .

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Oppdatert Last ned installasjonsfiler .

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med kommandoer for FedRAMP-miljøer.

                                                                                                                                                  14. august 2020

                                                                                                                                                  Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med endringer i påloggingsprosessen.

                                                                                                                                                  5. august 2020

                                                                                                                                                  Oppdatert Test hybriddistribusjonen av datasikkerhet for endringer i loggmeldinger.

                                                                                                                                                  Oppdatert Krav til virtuell vert for å fjerne maksimalt antall verter.

                                                                                                                                                  16. juni 2020

                                                                                                                                                  Oppdatert Fjerne en node for endringer i Control Hub-grensesnittet.

                                                                                                                                                  4. juni 2020

                                                                                                                                                  Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for endringer i de avanserte innstillingene du måtte angi.

                                                                                                                                                  29. mai 2020

                                                                                                                                                  Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for å vise at du også kan bruke TLS med SQL Server-databaser, brukergrensesnittendringer og andre presiseringer.

                                                                                                                                                  5. mai 2020

                                                                                                                                                  Oppdatert Krav til virtuell vert for å vise nye krav til ESXi 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Oppdatert Krav til ekstern tilkobling med nye Americas CI-verter.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Oppdatert Krav til ekstern tilkobling med informasjon om regionale CI-verter.

                                                                                                                                                  20. februar 2020Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med informasjon om det nye, valgfrie skjermbildet for avanserte innstillinger i HDS-oppsettverktøyet.
                                                                                                                                                  4. februar 2020Oppdatert Krav til proxy-server .
                                                                                                                                                  16. desember 2019Klargjorde kravet om at blokkert ekstern DNS-oppløsningsmodus skal fungere i Krav til proxy-server .
                                                                                                                                                  19. november 2019

                                                                                                                                                  La til informasjon om blokkert ekstern DNS-oppløsningsmodus i følgende deler:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Du kan nå konfigurere nettverksinnstillinger for en node mens du distribuerer OVA i stedet for etterpå.

                                                                                                                                                  Oppdaterte følgende deler tilsvarende:


                                                                                                                                                   

                                                                                                                                                  Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon har blitt testet med ESXi 6.5. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Lagt til SQL Server Standard i Krav til databaseserver .

                                                                                                                                                  29. august 2019Lagt til Konfigurer Squid-proxyer for hybrid datasikkerhet vedlegg med veiledning om konfigurering av Squid-proxyer til å ignorere websocket-trafikk for riktig drift.
                                                                                                                                                  20. august 2019

                                                                                                                                                  Lagt til og oppdaterte deler for å dekke proxy-støtte for hybrid datasikkerhetsnodekommunikasjon til Webex-skyen.

                                                                                                                                                  Hvis du bare vil ha tilgang til proxy-støtteinnholdet for en eksisterende distribusjon, kan du se Proxy-støtte for hybrid datasikkerhet og Webex-videonett hjelpeartikkel.

                                                                                                                                                  13. juni 2019Oppdatert Oppgaveflyt fra prøveversjon til produksjon med en påminnelse om å synkronisere HdsTrialGroup gruppeobjekt før du starter en prøveversjon hvis organisasjonen bruker katalogsynkronisering.
                                                                                                                                                  6. mars 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Korrigerte mengden lokal harddiskplass per server som du bør sette til side når du klargjør de virtuelle vertene som blir Hybrid Data Security-nodene, fra 50 GB til 20 GB, for å gjenspeile størrelsen på disken som OVA-en oppretter.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Hybrid Data Security-noder støtter nå krypterte tilkoblinger med PostgreSQL-databaseservere, og krypterte loggingstilkoblinger til en TLS-kompatibel syslog-server. Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med instruksjoner.

                                                                                                                                                  • Fjernet destinasjonsadresser fra tabellen Krav til Internett-tilkobling for virtuelle hybriddatasikkerhetsnoder. Tabellen viser nå til listen som vedlikeholdes i tabellen «Flere URL-adresser for Webex Teams-hybridtjenester» for Nettverkskrav for Webex Teams-tjenester .

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid Data Security støtter nå Microsoft SQL Server som en database. SQL Server Alltid på (Alltid på failover-klynger og Alltid på tilgjengelighetsgrupper) støttes av JDBC-driverne som brukes i Hybrid Data Security. Lagt til innhold relatert til distribusjon med SQL Server.


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server-støtte er bare ment for nye distribusjoner av hybriddatasikkerhet. Vi støtter for øyeblikket ikke overføring av data fra PostgreSQL til Microsoft SQL Server i en eksisterende distribusjon.

                                                                                                                                                  5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. juli 2018

                                                                                                                                                  21. mai 2018

                                                                                                                                                  Endret terminologi for å gjenspeile endringen av varemerke for Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security er nå Hybrid Data Security.

                                                                                                                                                  • Cisco Spark-appen er nå Webex-appen.

                                                                                                                                                  • Cisco Collaboraton Cloud er nå Webex-skyen.

                                                                                                                                                  11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • I Krav til X.509-sertifikater tabellen, angitt at sertifikatet ikke kan være et jokertegnsertifikat, og at KMS bruker CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  2. november 2017

                                                                                                                                                  • Tydeliggjort katalogsynkronisering av HdsTrialGroup.

                                                                                                                                                  • Løste instruksjoner for opplasting av ISO konfigurasjonsfil for montering til VM-nodene.

                                                                                                                                                  18. august 2017

                                                                                                                                                  Først publisert

                                                                                                                                                  Kom i gang med Hybrid Data Security

                                                                                                                                                  Oversikt over hybrid datasikkerhet

                                                                                                                                                  Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er ende-til-ende-kryptering av innhold, aktivert av Webex App-klienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografinøklene som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.

                                                                                                                                                  Som standard får alle Webex App-kunder ende-til-ende-kryptering med dynamiske nøkler lagret i KMS-skyen, i Ciscos sikkerhetsområde. Hybrid datasikkerhet flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, slik at ingen andre enn deg har nøklene til ditt krypterte innhold.

                                                                                                                                                  Arkitektur for sikkerhetsriket

                                                                                                                                                  Webex-skyarkitekturen skiller forskjellige typer tjenester i separate områder, eller klareringsdomener, som vist nedenfor.

                                                                                                                                                  Separasjonsområder (uten hybrid datasikkerhet)

                                                                                                                                                  For å forstå Hybrid Data Security ytterligere, la oss først se på dette rene skysaken, der Cisco leverer alle funksjoner i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan korreleres direkte med personlig informasjon, for eksempel e-postadresse, er logisk og fysisk atskilt fra sikkerhetsområdet i datasenter B. Begge er igjen atskilt fra området der kryptert innhold til slutt lagres , i datasenter C.

                                                                                                                                                  I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og som er autentisert med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:

                                                                                                                                                  1. Klienten oppretter en sikker tilkobling med nøkkelbehandlingstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikker tilkobling bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en AES-256-hovednøkkel.

                                                                                                                                                  2. Meldingen krypteres før den forlater klienten. Klienten sender den til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe til med fremtidige søk etter innholdet.

                                                                                                                                                  3. Den krypterte meldingen sendes til samsvarstjenesten for samsvarskontroll.

                                                                                                                                                  4. Den krypterte meldingen lagres i lagringsområdet.

                                                                                                                                                  Når du distribuerer Hybrid Data Security, flytter du sikkerhetsområdets funksjoner (KMS, indeksering og samsvar) til det lokale datasenter. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos riker.

                                                                                                                                                  Samarbeide med andre organisasjoner

                                                                                                                                                  Brukere i organisasjonen din kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen (fordi det ble opprettet av en av brukerne), sender KMS-en nøkkelen til klienten over en ECDH-sikker kanal. Når en annen organisasjon eier nøkkelen for området, ruter KMS-en imidlertid forespørselen ut til Webex-skyen gjennom en egen ECDH-kanal for å hente nøkkelen fra riktig KMS, og returnerer deretter nøkkelen til brukeren på den opprinnelige kanalen.

                                                                                                                                                  KMS-tjenesten som kjøres på organisasjon A, validerer tilkoblingene til KMS-er i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet ditt for detaljer om generering av et x.509-sertifikat som skal brukes med Hybrid Data Security-distribusjonen.

                                                                                                                                                  Forventninger for distribusjon av hybrid datasikkerhet

                                                                                                                                                  En Hybrid Data Security-distribusjon krever betydelig kundeengasjement og en bevissthet om risikoene som følger med å eie krypteringsnøkler.

                                                                                                                                                  Hvis du vil distribuere Hybrid Data Security, må du oppgi:

                                                                                                                                                  Fullstendig tap av enten konfigurasjons-ISO-en du bygger for Hybrid Data Security eller databasen du oppgir, vil føre til tap av nøklene. Tap av nøkkel forhindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:

                                                                                                                                                  • Behandle sikkerhetskopieringen og gjenopprettingen av databasen og konfigurasjonen av ISO.

                                                                                                                                                  • Vær forberedt på å utføre rask gjenoppretting ved katastrofegjenoppretting hvis det oppstår en katastrofe, for eksempel en databasediskfeil eller en datasenter .


                                                                                                                                                   

                                                                                                                                                  Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon.

                                                                                                                                                  Konfigurasjonsprosess på høyt nivå

                                                                                                                                                  Dette dokumentet dekker oppsett og administrasjon av en Hybrid Data Security-distribusjon:

                                                                                                                                                  • Konfigurer Hybrid Data Security – Dette inkluderer klargjøring av nødvendig infrastruktur og installasjon av Hybrid Data Security-programvare, testing av distribusjonen med et undersett av brukere i prøveversjonsmodus, og, når testingen er fullført, overgang til produksjon. Dette konverterer hele organisasjonen til å bruke Hybrid Data Security-klyngen for sikkerhetsfunksjoner.

                                                                                                                                                    Oppsett-, prøve- og produksjonsfasene dekkes i detalj i de neste tre kapitlene.

                                                                                                                                                  • Vedlikeholde Hybrid Data Security-distribusjonen – Webex-skyen gir automatisk løpende oppgraderinger. IT-avdelingen din kan tilby nivå 1-støtte for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke skjermvarsler og konfigurere e-postbaserte varsler i Control Hub.

                                                                                                                                                  • Forstå vanlige varsler, feilsøkingstrinn og kjente problemer –Hvis du får problemer med å distribuere eller bruke Hybrid Data Security, kan det siste kapitlet i denne veiledningen og tillegget Kjente problemer hjelpe deg med å finne ut og løse problemet.

                                                                                                                                                  Hybrid distribusjonsmodell for datasikkerhet

                                                                                                                                                  I foretningsdata distribuerer du Hybrid Data Security som én enkelt klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen gjennom sikre websockets og sikker HTTP.

                                                                                                                                                  Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere den virtuelle enheten på de virtuelle maskinene du oppgir. Du bruker installasjonsverktøyet for HDS til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Hybrid Data Security-klyngen bruker den medfølgende Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)

                                                                                                                                                  Hybrid distribusjonsmodell for datasikkerhet

                                                                                                                                                  Det minste antallet noder du kan ha i en klynge, er to. Vi anbefaler minst tre, og du kan ha opptil fem. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)

                                                                                                                                                  Alle nodene i en klynge har tilgang til det samme nøkkeldatalageret og loggaktiviteten til den samme syslog-serveren. Nodene i seg selv er statsløse og håndterer nøkkelforespørsler på en roundrobin-måte, som anvist av skyen.

                                                                                                                                                  Nodene blir aktive når du registrerer dem i Control Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.

                                                                                                                                                  Vi støtter bare én klynge per organisasjon.

                                                                                                                                                  Prøveversjonsmodus for hybrid datasikkerhet

                                                                                                                                                  Etter at du har satt opp en Hybrid Data Security-distribusjon, kan du først prøve den med et sett med pilotbrukere. I løpet av prøveperioden bruker disse brukerne det lokale Hybrid Data Security-domenet ditt for krypteringsnøkler og andre sikkerhetstjenester. De andre brukerne dine fortsetter å bruke sikkerhetsområdet for skyen.

                                                                                                                                                  Hvis du bestemmer deg for ikke å fortsette med distribusjonen i løpet av prøveperioden og deaktivere tjenesten, mister pilotbrukerne og alle brukere de har samhandlet med ved å opprette nye områder i løpet av prøveperioden tilgangen til meldingene og innholdet. De vil se «Denne meldingen kan ikke dekrypteres» i Webex-appen.

                                                                                                                                                  Hvis du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, og du er klar til å utvide Hybrid Data Security til alle brukerne, flytter du distribusjonen til produksjon. Pilotbrukere fortsetter å ha tilgang til nøklene som var i bruk under prøveversjonen. Du kan imidlertid ikke gå frem og tilbake mellom produksjonsmodus og den opprinnelige prøveversjonen. Hvis du må deaktivere tjenesten, for eksempel for å utføre katastrofegjenoppretting, må du starte en ny prøveversjon og konfigurere settet med pilotbrukere for den nye prøveversjonen før du går tilbake til produksjonsmodus når du aktiverer den. Hvorvidt brukere beholder tilgangen til data på dette tidspunktet, avhenger av om du har vedlikeholdt sikkerhetskopier av datalager og ISO konfigurasjonsfil for Hybrid Data Security-nodene i klyngen.

                                                                                                                                                  Datasenter i ventemodus for katastrofegjenoppretting

                                                                                                                                                  Under distribusjonen konfigurerer du et sikkert datasenter i ventemodus . I tilfelle en datasenter , kan du feile distribusjonen manuelt over til datasenter i ventemodus .

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuell failover til datasenter i ventemodus

                                                                                                                                                  Databasene til det aktive datasenteret og datasenteret i ventemodus er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover. ISO-filen til datasenter for ventemodus oppdateres med flere konfigurasjoner som sikrer at nodene registreres i organisasjonen, men ikke håndterer trafikk. Derfor forblir nodene i standby datasenter alltid oppdatert med den nyeste versjonen av HDS-programvaren.


                                                                                                                                                   

                                                                                                                                                  De aktive hybriddatasikkerhetsnodene må alltid være i samme datasenter som den aktive databaseserver.

                                                                                                                                                  Konfigurere datasenter i ventemodus for katastrofegjenoppretting

                                                                                                                                                  Følg trinnene nedenfor for å konfigurere ISO-filen for datasenter i ventemodus:

                                                                                                                                                  Før du starter

                                                                                                                                                  • datasenter i ventemodus skal speile produksjonsmiljøet til virtuelle maskiner og en sikkerhetskopi av PostgreSQL- eller Microsoft SQL Server-database. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. (Se Datasenter i ventemodus for katastrofegjenoppretting for en oversikt over denne failover-modellen.)

                                                                                                                                                  • Kontroller at databasesynkronisering er aktivert mellom databasen med aktive og passive klyngenoder.

                                                                                                                                                  1

                                                                                                                                                  Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .


                                                                                                                                                   

                                                                                                                                                  ISO-filen må være en kopi av den originale ISO-filen til det primære datasenter som følgende konfigurasjonsoppdateringer skal utføres på.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger

                                                                                                                                                  3

                                                                                                                                                  Avanserte innstillinger side, legger du til konfigurasjonen nedenfor for å plassere noden i passiv modus. I denne modusen vil noden være registrert i organisasjonen og koblet til skyen, men vil ikke håndtere trafikk.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne.

                                                                                                                                                  5

                                                                                                                                                  Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer.

                                                                                                                                                  6

                                                                                                                                                  I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. .

                                                                                                                                                  7

                                                                                                                                                  Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.


                                                                                                                                                   

                                                                                                                                                  Sørg for Tilkoblet og Koble til når strømmen er på er kontrollert slik at oppdaterte konfigurasjonsendringer kan tre i kraft etter at nodene er startet.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gjenta prosessen for hver node i datasenter i ventemodus.


                                                                                                                                                   

                                                                                                                                                  Kontroller syslogs for å bekrefte at nodene er i passiv modus. Du skal kunne se meldingen «KMS konfigurert i passiv modus» i syslogs.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Etter konfigurering passiveMode i ISO-filen og lagrer den, kan du opprette en annen kopi av ISO-filen uten passiveMode konfigurasjonen og lagre den på et sikkert sted. Denne kopien av ISO-filen uten passiveMode konfigurert kan hjelpe i en rask failover-prosess under katastrofegjenoppretting. Se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus for den detaljerte failover-prosedyren.

                                                                                                                                                  Proxy-støtte

                                                                                                                                                  Hybriddatasikkerhet støtter eksplisitte, gjennomsiktige proxyer for inspeksjon og ikke-inspeksjon. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et grensesnitt for plattformadministrasjon på nodene for sertifikatadministrasjon og kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.

                                                                                                                                                  Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:

                                                                                                                                                  • Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Klareringslager og proxy-konfigurasjon til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.

                                                                                                                                                  • Gjennomsiktig ikke-inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse, og bør ikke trenge endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.

                                                                                                                                                  • Gjennomsiktig tunnelering eller inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjon er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de klarerer proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer om hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).

                                                                                                                                                  • Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og hvilken godkjenningsplan som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon for hver node:

                                                                                                                                                    1. Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

                                                                                                                                                    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

                                                                                                                                                    3. Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:

                                                                                                                                                      • HTTP – Viser og kontrollerer alle forespørsler som klienten sender.

                                                                                                                                                      • HTTPS – Gir en kanal til serveren. Klienten mottar og godkjenner serverens sertifikat.

                                                                                                                                                    4. Godkjenningstype – Velg blant følgende godkjenningstyper:

                                                                                                                                                      • Ingen – Ingen ytterligere godkjenning er nødvendig.

                                                                                                                                                        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

                                                                                                                                                      • Grunnleggende – Brukes for en HTTP-brukeragent til å angi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

                                                                                                                                                        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

                                                                                                                                                        Krever at du skriver inn brukernavn og passord for hver node.

                                                                                                                                                      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

                                                                                                                                                        Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.

                                                                                                                                                        Krever at du skriver inn brukernavn og passord for hver node.

                                                                                                                                                  Eksempel på noder og proxy for hybriddatasikkerhet

                                                                                                                                                  Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og HTTPS eksplisitt inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.

                                                                                                                                                  Blokkert ekstern DNS-oppløsningsmodus (eksplisitt proxy-konfigurasjoner)

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsningsmodus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.

                                                                                                                                                  Forbered miljøet ditt

                                                                                                                                                  Krav for hybrid datasikkerhet

                                                                                                                                                  Krav til Docker-skrivebord

                                                                                                                                                  Før du installerer HDS-nodene, må du ha Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig lisensieringsmodellen. Organisasjonen din kan kreve et betalt abonnement for Docker Desktop. Hvis du vil ha mer informasjon, se Docker-blogginnlegget, « Docker oppdaterer og utvider produktabonnementene våre «.

                                                                                                                                                  Krav til X.509-sertifikater

                                                                                                                                                  sertifikatkjede må oppfylle følgende krav:

                                                                                                                                                  Tabell 1. X.509-sertifikatkrav for hybrid distribusjon av datasikkerhet

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Signert av en klarert sertifiseringsinstans (CA)

                                                                                                                                                  Som standard klarerer vi sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) påhttps://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Bærer et Common Name- domenenavn (CN) som identifiserer Hybrid Data Security-distribusjonen

                                                                                                                                                  • Er ikke et jokertegnsertifikat

                                                                                                                                                  CN-en trenger ikke å være tilgjengelig eller være en direktevert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel hds.company.com.

                                                                                                                                                  CN kan ikke inneholde en * (jokertegn).

                                                                                                                                                  CN brukes til å bekrefte hybriddatasikkerhetsnodene til Webex App-klienter. Alle hybriddatasikkerhetsnodene i klyngen bruker det samme sertifikatet. KMS-en din identifiserer seg ved hjelp av CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene.

                                                                                                                                                  Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN- domenenavn. Velg et domene som kan gjelde for både prøveversjonen og produksjonsdistribusjonene.

                                                                                                                                                  • Signatur som ikke er SHA1

                                                                                                                                                  KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjoners KMS-er.

                                                                                                                                                  • Formatert som en passordbeskyttet PKCS #12-fil

                                                                                                                                                  • Bruk det vennlige navnet på kms-private-key for å merke sertifikatet, den private nøkkelen og eventuelle mellomsertifikater som skal lastes opp.

                                                                                                                                                  Du kan bruke et konverteringsprogram som OpenSSL til å endre sertifikatets format.

                                                                                                                                                  Du må angi passordet når du kjører HDS-installasjonsverktøyet.

                                                                                                                                                  KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifiseringsinstanser krever at utvidede begrensninger for nøkkelbruk brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.

                                                                                                                                                  Krav til virtuell vert

                                                                                                                                                  De virtuelle vertene som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen, har følgende krav:

                                                                                                                                                  • Minst to separate verter (tre anbefales) plassert i det samme sikre datasenter

                                                                                                                                                  • VMware ESXi 6.5 (eller nyere) er installert og kjører.


                                                                                                                                                     

                                                                                                                                                    Du må oppgradere hvis du har en tidligere versjon av ESXi.

                                                                                                                                                  • Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokal harddiskplass per server

                                                                                                                                                  Krav til databaseserver


                                                                                                                                                   

                                                                                                                                                  Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene, når de er installert, oppretter databaseskjemaet.

                                                                                                                                                  Det finnes to alternativer for databaseserver. Kravene for hver av dem er som følger:

                                                                                                                                                  Tabell 2. Krav til databaseserver etter databasetype

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installert og kjører.

                                                                                                                                                  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) er installert.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 krever Service Pack 2 og kumulativ oppdatering 2 eller senere.

                                                                                                                                                  Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

                                                                                                                                                  Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

                                                                                                                                                  HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC-driver 42.2.5

                                                                                                                                                  SQL Server JDBC-driver 4.6

                                                                                                                                                  Denne driverversjonen støtter SQL Server Always On ( Alltid på failover-klyngeforekomster og Alltid på tilgjengelighetsgrupper ).

                                                                                                                                                  Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server

                                                                                                                                                  Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:

                                                                                                                                                  • HDS-nodene, Active Directory -infrastrukturen og MS SQL Server må alle være synkronisert med NTP.

                                                                                                                                                  • Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.

                                                                                                                                                  • DNS-serverne du oppgir til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).

                                                                                                                                                  • Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et Service Principal Name (SPN) i Active Directory. Se Registrer et hovednavn for tjeneste for Kerberos Connections .

                                                                                                                                                    HDS-oppsettverktøyet, HDS-startprogrammet og lokal KMS må alle bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN når de ber om tilgang med Kerberos-autentisering.

                                                                                                                                                  Krav til ekstern tilkobling

                                                                                                                                                  Konfigurer brannmuren til å tillate følgende tilkoblingsmuligheter for HDS-programmene:

                                                                                                                                                  Applikasjon

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Veibeskrivelse fra app

                                                                                                                                                  Destinasjon

                                                                                                                                                  Hybride datasikkerhetsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS og WSS

                                                                                                                                                  • Webex-servere:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle Common Identity-verter

                                                                                                                                                  • Andre nettadresser som er oppført for Hybrid Data Security i Ytterligere URL-adresser for Webex Hybrid Services tabell over Nettverkskrav for Webex-tjenester

                                                                                                                                                  HDS-oppsettverktøy

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-verter

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid Data Security-nodene fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmur tillater de nødvendige utgående tilkoblingene til domenemålene i den foregående tabellen. For tilkoblinger som går inn til Hybrid Data Security-nodene, skal ingen porter være synlige fra Internett. I datasenter ditt trenger klienter tilgang til hybriddatasikkerhetsnodene på TCP-portene 443 og 22 til administrative formål.

                                                                                                                                                  URL-adressene for CI-vertene (Common Identity) er regionsspesifikke. Dette er de nåværende CI-vertene:

                                                                                                                                                  Region

                                                                                                                                                  Felles URL-adresser for vertsidentitet

                                                                                                                                                  Nord- og Sør-Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Den europeiske union

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Krav til proxy-server

                                                                                                                                                  • Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene dine for hybriddatasikkerhet.

                                                                                                                                                    • Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplisitt proxy – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av WebSocket (wss:) tilkoblinger. Hvis du vil omgå dette problemet, kan du se Konfigurer Squid-proxyer for hybrid datasikkerhet .

                                                                                                                                                  • Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:

                                                                                                                                                    • Ingen godkjenning med HTTP eller HTTPS

                                                                                                                                                    • Enkel godkjenning med HTTP eller HTTPS

                                                                                                                                                    • Sammendragsgodkjenning kun med HTTPS

                                                                                                                                                  • Hvis du vil ha en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne håndboken beskriver hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnoder.

                                                                                                                                                  • Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.

                                                                                                                                                  • Proxyer som inspiserer nettrafikk, kan forstyrre WebSocket-tilkoblinger. Hvis dette problemet oppstår, kan du omgå (ikke inspisere) trafikk til wbx2.com og ciscospark.com vil løse problemet.

                                                                                                                                                  Fullfør forutsetningene for hybrid datasikkerhet

                                                                                                                                                  Bruk denne sjekklisten for å sikre at du er klar til å installere og konfigurere Hybrid Data Security-klyngen.
                                                                                                                                                  1

                                                                                                                                                  Kontroller at Webex-organisasjonen din er aktivert for Pro Pack for Cisco Webex Control Hub, og få legitimasjonen til en konto med fulle administrator . Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen.

                                                                                                                                                  2

                                                                                                                                                  Velg et domenenavn for HDS-distribusjonen (for eksempel hds.company.com) og få en sertifikatkjede som inneholder et X.509-sertifikat, privat nøkkel og eventuelle mellomsertifikater. sertifikatkjede må oppfylle kravene i Krav til X.509-sertifikater .

                                                                                                                                                  3

                                                                                                                                                  Klargjør identiske virtuelle verter som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen. Du trenger minst to separate verter (tre anbefales) plassert i det samme sikre datasenter, som oppfyller kravene i Krav til virtuell vert .

                                                                                                                                                  4

                                                                                                                                                  Klargjør databaseserver som skal fungere som datalager for klyngen, i henhold til Krav til databaseserver . databaseserver må være lokalisert i det sikre datasenter med de virtuelle vertene.

                                                                                                                                                  1. Opprett en database for nøkkellagring. (Du må opprette denne databasen – ikke bruk standarddatabasen. HDS-applikasjonene oppretter databaseskjemaet når de er installert.)

                                                                                                                                                  2. Samle inn detaljene som nodene skal bruke til å kommunisere med databaseserver:

                                                                                                                                                    • vertsnavn eller IP-adresse (vert) og port

                                                                                                                                                    • navnet på databasen (dbname) for nøkkellagring

                                                                                                                                                    • brukernavnet og passordet til en bruker med alle rettigheter i nøkkellagringsdatabasen

                                                                                                                                                  5

                                                                                                                                                  Hvis du vil ha rask gjenoppretting ved katastrofegjenoppretting, konfigurerer du et sikkerhetskopimiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet for virtuelle datamaskiner og en databaseserver. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner.

                                                                                                                                                  6

                                                                                                                                                  Konfigurer en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadresse og syslog-porten (standard er UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Opprett en sikker sikkerhetskopieringspolicy for Hybrid Data Security-nodene, databaseserver og syslog-verten. For å forhindre tap av ugjenopprettelig data må du som et minimum sikkerhetskopiere databasen og ISO-konfigurasjonsfilen som er generert for Hybrid Data Security-nodene.


                                                                                                                                                   

                                                                                                                                                  Siden Hybrid Data Security-nodene lagrer nøklene som brukes i kryptering og dekryptering av innhold, vil manglende vedlikehold av en operativ distribusjon føre til at TAP som ikke kan gjenvinnes av det innholdet.

                                                                                                                                                  Webex App-klienter hurtigbufrer nøklene sine, så et driftsbrudd vil kanskje ikke merkes umiddelbart, men vil bli tydelig over tid. Selv om midlertidige strømbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopier tilgjengelig) av enten databasen eller ISO-konfigurasjonsfilen vil imidlertid føre til kundedata som ikke kan gjenopprettes. Operatørene av Hybrid Data Security-nodene forventes å opprettholde hyppige sikkerhetskopier av databasen og ISO-konfigurasjonsfilen, og være forberedt på å gjenoppbygge Hybrid Data Security datasenter hvis det oppstår en katastrofal feil.

                                                                                                                                                  8

                                                                                                                                                  Kontroller at brannmurkonfigurasjonen tillater tilkobling for Hybrid Data Security-nodene som angitt i Krav til ekstern tilkobling .

                                                                                                                                                  9

                                                                                                                                                  Installer Docker (https://www.docker.com ) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til den på http://127.0.0.1:8080.

                                                                                                                                                  Du bruker Docker-forekomsten til å laste ned og kjøre installasjonsverktøyet for HDS, som bygger den lokale konfigurasjonsinformasjon for alle Hybrid Data Security-nodene. Organisasjonen din kan trenge en Docker Desktop-lisens. Se Krav til Docker-skrivebord hvis du vil ha mer informasjon.

                                                                                                                                                  Hvis du vil installere og kjøre HDS-installasjonsverktøyet, må den lokale maskinen ha tilkoblingsmulighetene som er angitt i Krav til ekstern tilkobling .

                                                                                                                                                  10

                                                                                                                                                  Hvis du integrerer en proxy med Hybrid Data Security, må du kontrollere at den oppfyller Krav til proxy-server .

                                                                                                                                                  11

                                                                                                                                                  Hvis organisasjonen din bruker katalogsynkronisering, oppretter du en gruppe i Active Directory som heter HdsTrialGroup, og legg til pilotbrukere. Prøvegruppen kan ha opptil 250 brukere. Filen HdsTrialGroup objektet må synkroniseres til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil synkronisere et gruppeobjekt, velger du det i katalogkoblingen Konfigurasjon > Objektvalg -menyen. (For detaljerte instruksjoner se Distribusjonsveiledning for Cisco Directory Connector. )


                                                                                                                                                   

                                                                                                                                                  Taster for et gitt område angis av oppretteren av området. Når du velger pilotbrukere, må du huske på at hvis du bestemmer deg for å deaktivere Hybrid Data Security-distribusjonen permanent, mister alle brukere tilgangen til innhold i områdene som ble opprettet av pilotbrukerne. Tapet blir tydelig så snart brukernes apper oppdaterer de bufrede kopiene av innholdet.

                                                                                                                                                  Konfigurer en hybrid datasikkerhetsklynge

                                                                                                                                                  Oppgaveflyt for distribusjon av hybrid datasikkerhet

                                                                                                                                                  Før du starter

                                                                                                                                                  Forbered miljøet ditt

                                                                                                                                                  1

                                                                                                                                                  Last ned installasjonsfiler

                                                                                                                                                  Last ned OVA-filen til din lokale maskin for senere bruk.

                                                                                                                                                  2

                                                                                                                                                  Opprett en konfigurasjons-ISO for HDS-vertene

                                                                                                                                                  Bruk HDS-oppsettverktøyet til å opprette en ISO konfigurasjonsfil for hybriddatasikkerhetsnodene.

                                                                                                                                                  3

                                                                                                                                                  Installer HDS Host OVA

                                                                                                                                                  Opprett en virtuell maskin fra OVA-filen og utfør den første konfigurasjonen, for eksempel nettverksinnstillinger.


                                                                                                                                                   

                                                                                                                                                  Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon har blitt testet med ESXi 6.5. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer den virtuelle hybriddatasikkerhetsmaskinen

                                                                                                                                                  Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.

                                                                                                                                                  5

                                                                                                                                                  Last opp og monter HDS-konfigurasjons-ISO

                                                                                                                                                  Konfigurer den virtuelle maskinen fra ISO konfigurasjonsfil du opprettet med HDS-installasjonsverktøyet.

                                                                                                                                                  6

                                                                                                                                                  Konfigurere HDS-noden for proxy-integrasjon

                                                                                                                                                  Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du proxy-typen du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig.

                                                                                                                                                  7

                                                                                                                                                  Registrer den første noden i klyngen

                                                                                                                                                  Registrer den virtuelle maskinen med Cisco Webex skyen som en hybrid datasikkerhetsnode.

                                                                                                                                                  8

                                                                                                                                                  Opprett og registrer flere noder

                                                                                                                                                  Fullfør klyngeoppsettet.

                                                                                                                                                  9

                                                                                                                                                  Kjør en prøveversjon og gå til produksjon (neste kapittel)

                                                                                                                                                  Frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.

                                                                                                                                                  Last ned installasjonsfiler

                                                                                                                                                  I denne oppgaven laster du ned en OVA-fil til maskinen din (ikke til serverne du konfigurerer som hybriddatasikkerhetsnoder). Du bruker denne filen senere i installasjonsprosessen.
                                                                                                                                                  1

                                                                                                                                                  Logg påhttps://admin.webex.com , og klikk deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Finn Hybrid Data Security-kortet under Hybridtjenester, og klikk deretter på Konfigurer .

                                                                                                                                                  Hvis kortet er deaktivert eller du ikke ser det, kontakter du kontoteamet ditt eller partnerorganisasjonen din. Gi dem kontonummeret ditt, og be om å aktivere organisasjonen din for Hybrid Data Security. Hvis du vil finne kontonummeret, klikker du på tannhjulet øverst til høyre, ved siden av organisasjonsnavnet.


                                                                                                                                                   

                                                                                                                                                  Du kan også laste ned OVA når som helst fra Hjelp delen om Innstillinger side. På Hybrid Data Security-kortet klikker du på Rediger innstillinger for å åpne siden. Deretter klikker du Last ned programvare for hybrid datasikkerhet i Hjelp delen.


                                                                                                                                                   

                                                                                                                                                  Eldre versjoner av programvarepakken (OVA) vil ikke være kompatible med de nyeste oppgraderingene av Hybrid Data Security. Dette kan føre til problemer under oppgradering av applikasjonen. Pass på at du laster ned den nyeste versjonen av OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Velg Nei for å indikere at du ikke har satt opp noden ennå, og klikk deretter på Neste .

                                                                                                                                                  Nedlastingen av OVA-filen begynner automatisk. Lagre filen et sted på maskinen.
                                                                                                                                                  4

                                                                                                                                                  Du kan også klikke på Åpne Distribusjonsveiledning for å sjekke om det finnes en nyere versjon av denne veiledningen.

                                                                                                                                                  Opprett en konfigurasjons-ISO for HDS-vertene

                                                                                                                                                  Konfigurasjonsprosessen for Hybrid Data Security oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere Hybrid Data Security-verten.

                                                                                                                                                  Før du starter

                                                                                                                                                  • Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.

                                                                                                                                                    Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariabler når du henter frem Docker-beholderen i trinn 5 . Denne tabellen viser noen mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uten autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uten autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen når du gjør konfigurasjonsendringer, for eksempel disse:

                                                                                                                                                    • Databaselegitimasjon

                                                                                                                                                    • Sertifikatoppdateringer

                                                                                                                                                    • Endringer i retningslinjene for autorisasjon

                                                                                                                                                  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du PostgreSQL- eller SQL Server-distribusjonen for TLS.

                                                                                                                                                  1

                                                                                                                                                  På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt:

                                                                                                                                                  I vanlige miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dette trinnet rydder opp i tidligere bilder av HDS-oppsettverktøyet. Hvis det ikke finnes noen tidligere bilder, returnerer den en feil som du kan ignorere.

                                                                                                                                                  2

                                                                                                                                                  Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Når du blir bedt om passord, skriver du inn denne hashen:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Last ned det nyeste stabile bildet for miljøet ditt:

                                                                                                                                                  I vanlige miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:

                                                                                                                                                  • I vanlige miljøer uten proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanlige miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanlige miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljøer uten en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080».

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Installasjonsverktøyet støtter ikke tilkobling til lokal vert gjennom http://localvert:8080 . Brukhttp://127.0.0.1:8080 for å koble til lokal vert.

                                                                                                                                                  Bruk en nettleser til å gå til den lokale verten, http://127.0.0.1:8080, og angi brukernavn for kundeadministrator for Control Hub ved ledeteksten.

                                                                                                                                                  Verktøyet bruker denne første oppføringen i brukernavnet til å angi riktig miljø for den kontoen. Verktøyet viser deretter standard påloggingsmelding.

                                                                                                                                                  7

                                                                                                                                                  Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Control Hub-kundeadministratoren, og klikker deretter på Logg inn for å gi tilgang til de nødvendige tjenestene for Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  På oversiktssiden for installasjonsverktøy klikker du på Kom i gang .

                                                                                                                                                  9

                                                                                                                                                  ISO-import side, har du disse alternativene:

                                                                                                                                                  • Nei –Hvis du oppretter din første HDS-node, har du ingen ISO-fil å laste opp.
                                                                                                                                                  • Ja –Hvis du allerede har opprettet HDS-noder, velger du ISO-filen i nettleseren og laster den opp.
                                                                                                                                                  10

                                                                                                                                                  Kontroller at X.509-sertifikatet oppfyller kravene i Krav til X.509-sertifikater .

                                                                                                                                                  • Hvis du aldri har lastet opp et sertifikat før, laster du opp X.509-sertifikatet, skriver inn passordet og klikker Fortsett .
                                                                                                                                                  • Hvis sertifikatet er OK, klikker du på Fortsett .
                                                                                                                                                  • Hvis sertifikatet er utløpt eller du vil erstatte det, velger du Nei for Fortsette å bruke HDS sertifikatkjede og privat nøkkel fra tidligere ISO? . Last opp et nytt X.509-sertifikat, angi passordet og klikk Fortsett .
                                                                                                                                                  11

                                                                                                                                                  Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret:

                                                                                                                                                  1. Velg din Databasetype ( PostgreSQL eller Microsoft SQL Server ).

                                                                                                                                                    Hvis du velger Microsoft SQL Server , får du et autentiseringstype -felt.

                                                                                                                                                  2. ( Microsoft SQL Server bare) Velg din autentiseringstype :

                                                                                                                                                    • Grunnleggende autentisering : Du trenger et lokalt SQL Server- kontonavn i Brukernavn felt.

                                                                                                                                                    • Windows-autentisering : Du trenger en Windows-konto i formatet username@DOMAIN i Brukernavn felt.

                                                                                                                                                  3. Angi databaseserver i skjemaet <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Eksempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan bruke en IP-adresse til grunnleggende autentisering hvis nodene ikke kan bruke DNS til å løse vertsnavnet.

                                                                                                                                                    Hvis du bruker Windows-godkjenning, må du angi et fullstendig kvalifisert domenenavn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Skriv inn Databasenavn .

                                                                                                                                                  5. Skriv inn Brukernavn og Passord til en bruker med alle rettigheter i nøkkellagringsdatabasen.

                                                                                                                                                  12

                                                                                                                                                  Velg en Tilkoblingsmodus for TLS-database :

                                                                                                                                                  Modus

                                                                                                                                                  Beskrivelse

                                                                                                                                                  Foretrekker TLS (standardvalg)

                                                                                                                                                  HDS-noder krever ikke TLS for å koble til databaseserver. Hvis du aktiverer TLS på databaseserver, forsøker nodene en kryptert tilkobling.

                                                                                                                                                  Krev TLS

                                                                                                                                                  HDS-noder kobles bare til hvis databaseserver kan forhandle TLS.

                                                                                                                                                  Krev TLS og bekreft sertifikatunderskriver


                                                                                                                                                   

                                                                                                                                                  Denne modusen er ikke aktuelt for SQL Server-databaser.

                                                                                                                                                  • HDS-noder kobles bare til hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Etter at du har opprettet en TLS-tilkobling, sammenligner noden underskriveren av sertifikatet fra databaseserver med sertifiseringsinstansen i rotsertifikat for database . Hvis de ikke samsvarer, avbryter noden tilkoblingen.

                                                                                                                                                  Bruk rotsertifikat for database kontrollen under rullegardinlisten for å laste opp rotsertifikat for dette alternativet.

                                                                                                                                                  Krev TLS og bekreft sertifikatunderskriver og vertsnavn

                                                                                                                                                  • HDS-noder kobles bare til hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Etter at du har opprettet en TLS-tilkobling, sammenligner noden underskriveren av sertifikatet fra databaseserver med sertifiseringsinstansen i rotsertifikat for database . Hvis de ikke samsvarer, avbryter noden tilkoblingen.

                                                                                                                                                  • Nodene bekrefter også at vertsnavnet i serversertifikat samsvarer med vertsnavnet i Databasevert og port felt. Navnene må samsvare nøyaktig, ellers avbryter noden tilkoblingen.

                                                                                                                                                  Bruk rotsertifikat for database kontrollen under rullegardinlisten for å laste opp rotsertifikat for dette alternativet.

                                                                                                                                                  Når du laster opp rotsertifikat (om nødvendig), og klikker Fortsett tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserver. Verktøyet bekrefter også sertifikatunderskriveren og vertsnavnet, hvis det er aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan det hende at HDS-nodene kan opprette TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurer Syslogd-serveren på siden Systemlogger:

                                                                                                                                                  1. Angi nettadressen til syslog-serveren.

                                                                                                                                                    Hvis serveren ikke kan DNS-løses fra nodene for HDS-klyngen, bruker du en IP-adresse i URL-adressen.

                                                                                                                                                    Eksempel:
                                                                                                                                                    udp://10.92.43.23:514 angir logging til Syslogd-vert 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Hvis du konfigurerer serveren til å bruke TLS-kryptering, kontrollerer du Er syslog-serveren din konfigurert for SSL-kryptering? .

                                                                                                                                                    Hvis du merker av for denne avmerkingsboks, må du kontrollere at du skriver inn en TCP-URL som for eksempel tcp://10.92.43.23:514.

                                                                                                                                                  3. Fra Velg avslutning av syslog-oppføring velger du riktig innstilling for ISO-filen: Velg eller Ny linje brukes for Graylog og Rsyslog TCP

                                                                                                                                                    • Nullbyte – \x00

                                                                                                                                                    • Ny linje – \n – Velg dette valget for Graylog og Rsyslog TCP.

                                                                                                                                                  4. Klikk på Fortsett.

                                                                                                                                                  14

                                                                                                                                                  (Valgfritt) Du kan endre standardverdi for noen databasetilkoblingsparametere i Avanserte innstillinger . Vanligvis er denne parameteren den eneste du kanskje vil endre:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klikk på Fortsett Tilbakestill passordet for tjenestekontoer skjermen.

                                                                                                                                                  Passord for tjenestekontoer har en levetid på ni måneder. Bruk denne skjermen når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem for å ugyldiggjøre tidligere ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klikk på Last ned ISO-fil . Lagre filen på et sted som er lett å finne.

                                                                                                                                                  17

                                                                                                                                                  Ta en sikkerhetskopi av ISO-filen på det lokale systemet.

                                                                                                                                                  Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer.

                                                                                                                                                  18

                                                                                                                                                  Hvis du vil avslutte konfigureringsverktøyet, skriver du inn CTRL+C.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                   

                                                                                                                                                  Vi har aldri en kopi av denne nøkkelen, og kan ikke hjelpe hvis du mister den.

                                                                                                                                                  Installer HDS Host OVA

                                                                                                                                                  Bruk denne fremgangsmåten til å opprette en virtuell maskin fra OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten.

                                                                                                                                                  2

                                                                                                                                                  Velg Fil > Distribuer OVF-mal .

                                                                                                                                                  3

                                                                                                                                                  Angi plasseringen av OVA-filen du lastet ned tidligere i veiviseren, og klikk deretter på Neste .

                                                                                                                                                  4

                                                                                                                                                  Velg et navn og en mappe side, skriver du inn en Navn på virtuell maskin for noden (for eksempel «HDS_ Node_ 1"), velg et sted der nodedistribusjonen for den virtuell maskin kan ligge, og klikk deretter Neste .

                                                                                                                                                  5

                                                                                                                                                  Velg en databehandlingsressurs -siden, velg måldataressursen, og klikk deretter Neste .

                                                                                                                                                  Det kjøres en valideringskontroll. Når den er fullført, vises maldetaljene.

                                                                                                                                                  6

                                                                                                                                                  Kontroller maldetaljene, og klikk deretter på Neste .

                                                                                                                                                  7

                                                                                                                                                  Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon side, klikk 4 CPUer og klikk deretter Neste .

                                                                                                                                                  8

                                                                                                                                                  Velg lagring side, klikk Neste for å godta standard diskformat og retningslinjer for VM-lagring.

                                                                                                                                                  9

                                                                                                                                                  Velg nettverk -siden, velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til den virtuelle maskinen.

                                                                                                                                                  10

                                                                                                                                                  Tilpass mal side, konfigurerer du følgende nettverksinnstillinger:

                                                                                                                                                  • Vertsnavn – Angi FQDN (vertsnavn og domene) eller vertsnavn med ett ord for noden.

                                                                                                                                                     
                                                                                                                                                    • Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet.

                                                                                                                                                    • Hvis du vil sikre en vellykket registrering til skyen, bruker du bare små tegn i FQDN eller vertsnavnet du angir for noden. Store og små bokstaver støttes ikke for øyeblikket.

                                                                                                                                                    • Den totale lengden på FQDN kan ikke overstige 64 tegn.

                                                                                                                                                  • IP-adresse — Angi IP-adresse for det interne grensesnittet til noden.

                                                                                                                                                     

                                                                                                                                                    Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke.

                                                                                                                                                  • Maske – Angi nettverksmaske med punktum og desimal. For eksempel 255.255.255.0 .
                                                                                                                                                  • Gateway – Angi IP-adresse for gatewayen . En gateway er en nettverksnode som fungerer som et tilgangspunkt til et annet nettverk.
                                                                                                                                                  • DNS-servere – Angi en kommadelt liste over DNS-servere som håndterer oversettelse av domenenavn til numeriske IP-adresser. (Opptil fire DNS-oppføringer er tillatt.)
                                                                                                                                                  • NTP-servere – Angi organisasjonens NTP-server eller en annen ekstern NTP-server som kan brukes i organisasjonen. Standard NTP-servere fungerer kanskje ikke for alle bedrifter. Du kan også bruke en kommadelt liste til å angi flere NTP-servere.
                                                                                                                                                  • Distribuer alle nodene på samme delnett eller VLAN, slik at alle nodene i en klynge er tilgjengelige fra klienter i nettverket for administrative formål.

                                                                                                                                                  Hvis du foretrekker det, kan du hoppe over konfigurasjonen av nettverksinnstillinger og følge trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen for å konfigurere innstillingene fra nodekonsollen.


                                                                                                                                                   

                                                                                                                                                  Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon har blitt testet med ESXi 6.5. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

                                                                                                                                                  11

                                                                                                                                                  Høyreklikk på den virtuelle noden, og velg deretter Strøm > Strøm på .

                                                                                                                                                  Hybrid Data Security-programvaren installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden.

                                                                                                                                                  Feilsøkingstips

                                                                                                                                                  Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen ved første oppstart, der du ikke kan logge på.

                                                                                                                                                  Konfigurer den virtuelle hybriddatasikkerhetsmaskinen

                                                                                                                                                  Bruk denne fremgangsmåten til å logge på VM-konsollen for Hybrid Data Security-noden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.

                                                                                                                                                  1

                                                                                                                                                  I VMware vSphere-klienten velger du den virtuelle hybriddatasikkerhetsnoden og velger Konsoll -fanen.

                                                                                                                                                  Den virtuelle maskinen starter opp, og det vises en påloggingsmelding. Hvis påloggingsmeldingen ikke vises, trykker du på Gå inn .
                                                                                                                                                  2

                                                                                                                                                  Bruk følgende standard påloggingsinformasjon og passord for å logge på og endre legitimasjonen:

                                                                                                                                                  1. Innlogging: admin

                                                                                                                                                  2. Passord: cisco

                                                                                                                                                  Siden du logger på den virtuelle maskinen for første gang, må du endre administrator .

                                                                                                                                                  3

                                                                                                                                                  Hvis du allerede har konfigurert nettverksinnstillinger i Installer HDS Host OVA , hopper du over resten av denne prosedyren. Ellers velger du på hovedmeny Rediger konfigurasjon alternativet.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke.

                                                                                                                                                  5

                                                                                                                                                  (Valgfritt) Endre vertsnavnet, domenet eller NTP-server(e) om nødvendig for å samsvare med nettverkspolicyen din.

                                                                                                                                                  Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet.

                                                                                                                                                  6

                                                                                                                                                  Lagre nettverkskonfigurasjon og start den virtuelle maskinen på nytt slik at endringene trer i kraft.

                                                                                                                                                  Last opp og monter HDS-konfigurasjons-ISO

                                                                                                                                                  Bruk denne fremgangsmåten til å konfigurere den virtuell maskin fra ISO-filen du opprettet med HDS-installasjonsverktøyet.

                                                                                                                                                  Før du starter

                                                                                                                                                  Siden ISO-filen inneholder hovednøkkelen, bør den bare vises på en «trenger å vite»-basis, for tilgang for de virtuelle hybriddatasikkerhets-ene og alle administratorer som måtte trenge å gjøre endringer. Kontroller at bare disse administratorene har tilgang til datalageret.

                                                                                                                                                  1

                                                                                                                                                  Last opp ISO-filen fra datamaskinen:

                                                                                                                                                  1. I venstre navigasjonspanel i VMware vSphere-klienten klikker du på ESXi-serveren.

                                                                                                                                                  2. I maskinvarelisten i kategorien Konfigurasjon klikker du på Oppbevaring .

                                                                                                                                                  3. I Datalager-listen høyreklikk du på datalageret for de virtuelle maskinene og klikker Bla gjennom datalager .

                                                                                                                                                  4. Klikk på Last opp filer-ikonet, og klikk deretter på Last opp fil .

                                                                                                                                                  5. Bla til stedet der du lastet ned ISO-filen på datamaskinen, og klikk på Åpne .

                                                                                                                                                  6. Klikk på Ja for å godta advarselen om opplasting/nedlasting, og lukke dialogboksen for datalager.

                                                                                                                                                  2

                                                                                                                                                  Monter ISO-filen:

                                                                                                                                                  1. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

                                                                                                                                                  2. Klikk på OK for å godta advarselen om begrensede redigeringsalternativer.

                                                                                                                                                  3. Klikk CD/DVD Drive 1, velger du alternativet for å montere fra en ISO-fil for datalager, og går til stedet der du lastet opp ISO-konfigurasjonsfilen.

                                                                                                                                                  4. Sjekk Tilkoblet og Koble til når strømmen er på .

                                                                                                                                                  5. Lagre endringene og start den virtuell maskin på nytt.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Hvis IT-retningslinjene krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene dine har registrert konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.

                                                                                                                                                  Konfigurere HDS-noden for proxy-integrasjon

                                                                                                                                                  Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybriddatasikkerhet. Hvis du velger en gjennomsiktig inspeksjonsproxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet og feilsøke eventuelle problemer.

                                                                                                                                                  Før du starter

                                                                                                                                                  1

                                                                                                                                                  Angi URL-adressen til oppsett av HDS-node https://[HDS Node IP or FQDN]/setup i en nettleser skriver du inn administratorlegitimasjonen du konfigurerte for noden, og klikker deretter Logg på .

                                                                                                                                                  2

                                                                                                                                                  Gå til Klareringslager og proxy, og velg deretter et alternativ:

                                                                                                                                                  • Ingen proxy – Standardalternativet før du integrerer en proxy. Ingen sertifikatoppdatering er nødvendig.
                                                                                                                                                  • Gjennomsiktig ikke-inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse, og bør ikke trenge endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
                                                                                                                                                  • Gjennomsiktig inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTPS-konfigurasjon er nødvendig for distribusjonen av hybriddatasikkerhet, men HDS-nodene trenger et rotsertifikat slik at de klarerer proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer om hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
                                                                                                                                                  • Eksplisitt proxy – Med eksplisitt proxy forteller du klienten (HDS-noder) hvilken proxy-server som skal brukes, og dette alternativet støtter flere godkjenningstyper. Når du har valgt dette alternativet, må du angi følgende informasjon:
                                                                                                                                                    1. Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

                                                                                                                                                    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

                                                                                                                                                    3. Proxy-protokoll – Velg http (viser og kontrollerer alle forespørsler som mottas fra klienten) eller https (gir en kanal til serveren, og klienten mottar og validerer serverens sertifikat). Velg et alternativ basert på hva proxy-serveren støtter.

                                                                                                                                                    4. Godkjenningstype – Velg blant følgende godkjenningstyper:

                                                                                                                                                      • Ingen – Ingen ytterligere godkjenning er nødvendig.

                                                                                                                                                        Tilgjengelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                      • Grunnleggende – Brukes for en HTTP-brukeragent til å angi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

                                                                                                                                                        Tilgjengelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                        Hvis du velger dette alternativet, må du også skrive inn brukernavn og passord.

                                                                                                                                                      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

                                                                                                                                                        Bare tilgjengelig for HTTPS-proxyer.

                                                                                                                                                        Hvis du velger dette alternativet, må du også skrive inn brukernavn og passord.

                                                                                                                                                  Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en HTTP-eksplisitt proxy med enkel godkjenning eller en eksplisitt HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen.

                                                                                                                                                  Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på vinkeltegnpilen ved navnet på sertifikatutstederen for å få flere detaljer, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt.

                                                                                                                                                  4

                                                                                                                                                  Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen.

                                                                                                                                                  Hvis tilkoblingstesten mislykkes, ser du en feilmelding som viser årsaken og hvordan du kan løse problemet.

                                                                                                                                                  Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne betingelsen forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene, og deretter ser du Slå av blokkert ekstern DNS-oppløsningsmodus .

                                                                                                                                                  5

                                                                                                                                                  Etter at tilkoblingstesten blir bestått, kun for eksplisitt proxy satt til https, setter du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen trer i kraft etter 15 sekunder.

                                                                                                                                                  6

                                                                                                                                                  Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en HTTP-eksplisitt proxy), les ledeteksten, og klikk deretter på Installer hvis du er klar.

                                                                                                                                                  Noden starter på nytt i løpet av noen få minutter.

                                                                                                                                                  7

                                                                                                                                                  Når noden har startet på nytt, logger du på igjen om nødvendig, og deretter åpner du Oversikt-siden for å kontrollere tilkoblingskontrollene for å sikre at alle har grønn status.

                                                                                                                                                  Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det oppstår tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen.

                                                                                                                                                  Registrer den første noden i klyngen

                                                                                                                                                  Denne oppgaven tar den generelle noden du opprettet i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen , registrerer noden med Webex-skyen og gjør den om til en hybrid datasikkerhetsnode.

                                                                                                                                                  Når du registrerer den første noden, oppretter du en klynge som noden er tilordnet. En klynge inneholder én eller flere noder distribuert for å gi redundans.

                                                                                                                                                  Før du starter

                                                                                                                                                  • Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.

                                                                                                                                                  • Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Logg på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Fra menyen på venstre side av skjermen velger du Tjenester .

                                                                                                                                                  3

                                                                                                                                                  I delen Hybridtjenester finner du Hybrid Data Security og klikker på Konfigurer .

                                                                                                                                                  Siden Registrer hybrid node for datasikkerhet vises.
                                                                                                                                                  4

                                                                                                                                                  Velg Ja for å indikere at du har satt opp noden og er klar til å registrere den, og klikk deretter på Neste .

                                                                                                                                                  5

                                                                                                                                                  I det første feltet skriver du inn et navn på klyngen du vil tilordne Hybrid Data Security-noden til.

                                                                                                                                                  Vi anbefaler at du gir navn til en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: «San Francisco» eller «New York» eller «Dallas»

                                                                                                                                                  6

                                                                                                                                                  I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste .

                                                                                                                                                  Denne IP-adresse eller FQDN må samsvare med IP-adresse eller vertsnavnet og domenet du brukte i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen .

                                                                                                                                                  Det vises en melding som angir at du kan registrere noden til Webex.
                                                                                                                                                  7

                                                                                                                                                  Klikk på Gå til Node .

                                                                                                                                                  8

                                                                                                                                                  Klikk på Fortsett i advarselsmelding.

                                                                                                                                                  Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til Webex-organisasjonen din for å få tilgang til noden.
                                                                                                                                                  9

                                                                                                                                                  Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett .

                                                                                                                                                  Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
                                                                                                                                                  10

                                                                                                                                                  Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden.

                                                                                                                                                  Hybrid datasikkerhet side, vises den nye klyngen som inneholder noden du registrerte. Noden vil automatisk laste ned den nyeste programvaren fra skyen.

                                                                                                                                                  Opprett og registrer flere noder

                                                                                                                                                  Hvis du vil legge til flere noder i klyngen, oppretter du ganske enkelt flere virtuelle datamaskiner og monterer den samme ISO-konfigurasjonsfilen, og deretter registrerer du noden. Vi anbefaler at du har minst 3 noder.

                                                                                                                                                   

                                                                                                                                                  På dette tidspunktet er de virtuelle sikkerhetskopiene-ene du opprettet i Fullfør forutsetningene for hybrid datasikkerhet er standby-verter som bare brukes i tilfelle katastrofegjenoppretting; de er ikke registrert i systemet før da. Hvis du vil ha mer informasjon, se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus .

                                                                                                                                                  Før du starter

                                                                                                                                                  • Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.

                                                                                                                                                  • Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA .

                                                                                                                                                  2

                                                                                                                                                  Konfigurer den første konfigurasjonen på den nye virtuelle maskinen, og gjenta trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen .

                                                                                                                                                  3

                                                                                                                                                  Gjenta trinnene i den nye VM-en Last opp og monter HDS-konfigurasjons-ISO .

                                                                                                                                                  4

                                                                                                                                                  Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrering etter behov for den nye noden.

                                                                                                                                                  5

                                                                                                                                                  Registrer noden.

                                                                                                                                                  1. Ihttps://admin.webex.com , velger du Tjenester fra menyen på venstre side av skjermen.

                                                                                                                                                  2. I delen Hybridtjenester finner du Hybrid Data Security-kortet og klikker på Ressurser .

                                                                                                                                                    Siden for hybriddatasikkerhetsressurser vises.
                                                                                                                                                  3. Klikk på Legg til ressurs .

                                                                                                                                                  4. I det første feltet velger du navnet på den eksisterende klyngen.

                                                                                                                                                  5. I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste .

                                                                                                                                                    Det vises en melding som angir at du kan registrere noden i Webex-skyen.
                                                                                                                                                  6. Klikk på Gå til Node .

                                                                                                                                                    Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til organisasjonen din for å få tilgang til noden.
                                                                                                                                                  7. Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett .

                                                                                                                                                    Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
                                                                                                                                                  8. Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden.

                                                                                                                                                  Noden din er registrert. Merk at frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Kjør en prøveversjon og gå til produksjon (neste kapittel)
                                                                                                                                                  Kjør en prøveversjon og gå til produksjon

                                                                                                                                                  Oppgaveflyt fra prøveversjon til produksjon

                                                                                                                                                  Når du har konfigurert en Hybrid Data Security-klynge, kan du starte en pilot, legge til brukere i den og begynne å bruke den til testing og bekreftelse av distribusjonen som forberedelse til overgang til produksjon.

                                                                                                                                                  1

                                                                                                                                                  Hvis det er aktuelt, synkroniserer du HdsTrialGroup gruppeobjekt.

                                                                                                                                                  Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktiver prøveversjon

                                                                                                                                                  Start en prøveversjon. Frem til du gjør denne oppgaven, genererer nodene en alarm som indikerer at tjenesten ennå ikke er aktivert.

                                                                                                                                                  3

                                                                                                                                                  Test hybriddistribusjonen av datasikkerhet

                                                                                                                                                  Kontroller at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.

                                                                                                                                                  4

                                                                                                                                                  Overvåke helse for hybrid datasikkerhet

                                                                                                                                                  Sjekk status, og konfigurer e-postvarsler for alarmer.

                                                                                                                                                  5

                                                                                                                                                  Legg til eller fjern brukere fra prøveversjonen

                                                                                                                                                  6

                                                                                                                                                  Fullfør prøveperioden med én av følgende handlinger:

                                                                                                                                                  Aktiver prøveversjon

                                                                                                                                                  Før du starter

                                                                                                                                                  Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Logg påhttps://admin.webex.com , og velg deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security klikker du på Innstillinger .

                                                                                                                                                  3

                                                                                                                                                  I delen Tjenestestatus klikker du på Start prøveversjonen .

                                                                                                                                                  Tjenestestatusen endres til prøveversjonsmodus.
                                                                                                                                                  4

                                                                                                                                                  Klikk på Legg til brukere og angi e-postadresse til én eller flere brukere for å prøve å bruke Hybrid Data Security-nodene for kryptering og indekseringstjenester.

                                                                                                                                                  (Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory til å administrere prøvegruppen, HdsTrialGroup.)

                                                                                                                                                  Test hybriddistribusjonen av datasikkerhet

                                                                                                                                                  Bruk denne fremgangsmåten til å teste krypteringsscenarier med Hybrid Data Security.

                                                                                                                                                  Før du starter

                                                                                                                                                  • Konfigurer Hybrid Data Security-distribusjonen.

                                                                                                                                                  • Aktiver prøveversjonen, og legg til flere prøveversjonsbrukere.

                                                                                                                                                  • Kontroller at du har tilgang til syslog for å bekrefte at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.

                                                                                                                                                  1

                                                                                                                                                  Taster for et gitt område angis av oppretteren av området. Logg på Webex-appen som én av pilotbrukerne, og opprett deretter et område og inviter minst én pilotbruker og én ikke-pilotbruker.


                                                                                                                                                   

                                                                                                                                                  Hvis du deaktiverer Hybrid Data Security-distribusjonen, er ikke innhold i områder som pilotbrukere oppretter lenger tilgjengelig når de klientbufrede kopiene av krypteringsnøklene er erstattet.

                                                                                                                                                  2

                                                                                                                                                  Send meldinger til det nye området.

                                                                                                                                                  3

                                                                                                                                                  Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til Hybrid Data Security-distribusjonen.

                                                                                                                                                  1. Hvis du vil se etter en bruker som først oppretter en sikker kanal til KMS, filtrerer du på kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du bør finne en oppføring som følgende (identifikatorer forkortet for lesbarhet):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Hvis du vil se etter en bruker som ber om en eksisterende nøkkel fra KMS, filtrerer du på kms.data.method=retrieve og kms.data.type=KEY:

                                                                                                                                                    Du bør finne en oppføring som:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Hvis du vil se etter en bruker som ber om å opprette en ny KMS-nøkkel, filtrerer du på kms.data.method=create og kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bør finne en oppføring som:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Hvis du vil se etter en bruker som ber om opprettelse av et nytt KMS-ressursobjekt (KRO) når et område eller en annen beskyttet ressurs opprettes, filtrerer du på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bør finne en oppføring som:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Overvåke helse for hybrid datasikkerhet

                                                                                                                                                  En statusindikator i Control Hub viser deg om alt er bra med Hybrid Data Security-distribusjonen. Registrer deg for e-postvarsler for mer proaktiv varsling. Du blir varslet når det er tjenestepåvirkende alarmer eller programvareoppgraderinger.
                                                                                                                                                  1

                                                                                                                                                  I Kontrollhub , velger du Tjenester fra menyen på venstre side av skjermen.

                                                                                                                                                  2

                                                                                                                                                  I delen Hybridtjenester finner du Hybrid Data Security og klikker på Innstillinger .

                                                                                                                                                  Siden Innstillinger for hybrid datasikkerhet vises.
                                                                                                                                                  3

                                                                                                                                                  I delen E-postvarsler skriver du inn én eller flere e-postadresser atskilt med komma, og trykker på Gå inn .

                                                                                                                                                  Legg til eller fjern brukere fra prøveversjonen

                                                                                                                                                  Når du har aktivert en prøveversjon og lagt til det første settet med prøveversjonsbrukere, kan du legge til eller fjerne prøveversjonsmedlemmer når som helst mens prøveversjonen er aktiv.

                                                                                                                                                  Hvis du fjerner en bruker fra prøveversjonen, vil brukerens klient be om å opprette nøkler og nøkler fra KMS-skyen i stedet for KMS-en din. Hvis klienten trenger en nøkkel som er lagret på KMS-en, vil KMS-en i skyen hente den på brukerens vegne.

                                                                                                                                                  Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory (i stedet for denne prosedyren) til å administrere prøvegruppen, HdsTrialGroup; du kan vise gruppemedlemmene i Control Hub, men kan ikke legge til eller fjerne dem.

                                                                                                                                                  1

                                                                                                                                                  Logg på Control Hub, og velg deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security klikker du på Innstillinger .

                                                                                                                                                  3

                                                                                                                                                  I delen Prøvemodus i området Tjenestestatus klikker du på Legg til brukere , eller klikk vise og redigere for å fjerne brukere fra prøveversjonen.

                                                                                                                                                  4

                                                                                                                                                  Skriv inn e-postadresse til én eller flere brukere som skal legges til, eller klikk på X av en bruker-ID for å fjerne brukeren fra prøveversjonen. Klikk deretter på Lagre.

                                                                                                                                                  Gå fra prøveversjon til produksjon

                                                                                                                                                  Når du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, kan du gå over til produksjon. Når du går over til produksjon, vil alle brukere i organisasjonen bruke det lokale Hybrid Data Security-domenet for krypteringsnøkler og andre sikkerhetstjenester. Du kan ikke gå tilbake til prøvemodus fra produksjon med mindre du deaktiverer tjenesten som en del av katastrofegjenoppretting. Reaktivering av tjenesten krever at du konfigurerer en ny prøveversjon.
                                                                                                                                                  1

                                                                                                                                                  Logg på Control Hub, og velg deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security klikker du på Innstillinger .

                                                                                                                                                  3

                                                                                                                                                  I delen Tjenestestatus klikker du på Flytt til produksjon .

                                                                                                                                                  4

                                                                                                                                                  Bekreft at du vil flytte alle brukerne til produksjon.

                                                                                                                                                  Avslutt prøveversjonen uten å gå til produksjon

                                                                                                                                                  Hvis du i løpet av prøveperioden bestemmer deg for ikke å fortsette med distribusjonen av Hybrid Data Security, kan du deaktivere Hybrid Data Security, som avslutter prøveversjonen og flytter prøveversjonsbrukerne tilbake til skydatasikkerhetstjenestene. Prøveversjonsbrukerne mister tilgangen til dataene som ble kryptert under prøveversjonen.
                                                                                                                                                  1

                                                                                                                                                  Logg på Control Hub, og velg deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security klikker du på Innstillinger .

                                                                                                                                                  3

                                                                                                                                                  I Deaktiver-delen klikker du på Deaktiver .

                                                                                                                                                  4

                                                                                                                                                  Bekreft at du vil deaktivere tjenesten og avslutte prøveversjonen.

                                                                                                                                                  Administrer HDS-distribusjonen

                                                                                                                                                  Behandle HDS-distribusjon

                                                                                                                                                  Bruk oppgavene som er beskrevet her, til å administrere Hybrid Data Security-distribusjonen.

                                                                                                                                                  Angi tidsplan for klyngeoppgradering

                                                                                                                                                  Programvareoppgraderinger for Hybrid Data Security gjøres automatisk på klyngenivå, noe som sikrer at alle noder alltid kjører den samme programvareversjon. Oppgraderinger utføres i henhold til oppgraderingsplanen for klyngen. Når en programvareoppgradering blir tilgjengelig, har du muligheten til å oppgradere klyngen manuelt før planlagt oppgraderingstid. Du kan angi en bestemt oppgraderingsplan eller bruke standardplanen for 03:00 daglig USA: Amerika/Los Angeles. Du kan også velge å utsette en kommende oppgradering om nødvendig.

                                                                                                                                                  Slik angir du oppgraderingsplanen:

                                                                                                                                                  1

                                                                                                                                                  Logg på Kontrollhub .

                                                                                                                                                  2

                                                                                                                                                  På Oversikt-siden, under Hybridtjenester, velger du Hybrid datasikkerhet .

                                                                                                                                                  3

                                                                                                                                                  Velg klyngen på siden Hybriddatasikkerhetsressurser.

                                                                                                                                                  4

                                                                                                                                                  I Oversikt-panelet til høyre, under Klyngeinnstillinger, velger du klyngenavnet.

                                                                                                                                                  5

                                                                                                                                                  På Innstillinger-siden, under Oppgradering, velger du tid og tidssone for oppgraderingsplanen.

                                                                                                                                                  Merk: Under tidssone vises dato og klokkeslett for neste tilgjengelige oppgradering. Du kan om nødvendig utsette oppgraderingen til neste dag ved å klikke på Utsette .

                                                                                                                                                  Endre nodekonfigurasjonen

                                                                                                                                                  Noen ganger kan det hende at du må endre konfigurasjonen for Hybrid Data Security-noden av en årsak som:
                                                                                                                                                  • Endring av x.509-sertifikater på grunn av utløpsdato eller andre årsaker.


                                                                                                                                                     

                                                                                                                                                    Vi støtter ikke endring av CN- domenenavn for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.

                                                                                                                                                  • Oppdaterer databaseinnstillinger for å endre til en replika av PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt vei. Hvis du vil bytte databasemiljø, starter du en ny distribusjon av Hybrid Data Security.

                                                                                                                                                  • Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.

                                                                                                                                                  Av sikkerhetsmessige årsaker bruker Hybriddata-sikkerhet passord som har en levetid på ni måneder på tjenestekontoer. HDS-installasjonsverktøyet genererer disse passordene, og du distribuerer dem til hver av HDS-nodene dine som en del av ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløp, mottar du et «Varsel om utløp av passord» fra Webex-teamet, der du blir bedt om å tilbakestille passordet for maskinkontoen. (E-posten inneholder teksten «Bruk maskinkontoens API til å oppdatere passordet.») Hvis passordene ikke er utløpt ennå, gir verktøyet deg to alternativer:

                                                                                                                                                  • Myk tilbakestilling – Det gamle og det nye passordet fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.

                                                                                                                                                  • Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.

                                                                                                                                                  Hvis passordene dine utløper uten en tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.

                                                                                                                                                  Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.

                                                                                                                                                  Før du starter

                                                                                                                                                  • Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.

                                                                                                                                                    Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du henter opp Docker-beholderen i 1.e . Denne tabellen viser noen mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uten autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uten autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO-en inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO-en når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i autorisasjonspolicy.

                                                                                                                                                  1

                                                                                                                                                  Kjør HDS-konfigureringsverktøyet via Docker på en lokal maskin.

                                                                                                                                                  1. På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt:

                                                                                                                                                    I vanlige miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Dette trinnet rydder opp i tidligere bilder av HDS-oppsettverktøyet. Hvis det ikke finnes noen tidligere bilder, returnerer den en feil som du kan ignorere.

                                                                                                                                                  2. Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Når du blir bedt om passord, skriver du inn denne hashen:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Last ned det nyeste stabile bildet for miljøet ditt:

                                                                                                                                                    I vanlige miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Sørg for at du bruker det nyeste installasjonsverktøyet for denne prosedyren. Versjoner av verktøyet som er opprettet før 22. februar 2018, har ikke skjermbildene for tilbakestilling av passord.

                                                                                                                                                  5. Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:

                                                                                                                                                    • I vanlige miljøer uten proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanlige miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanlige miljøer med en HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljøer uten en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080».

                                                                                                                                                  6. Bruk en nettleser til å koble til localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Installasjonsverktøyet støtter ikke tilkobling til lokal vert gjennom http://localvert:8080 . Brukhttp://127.0.0.1:8080 for å koble til lokal vert.

                                                                                                                                                  7. Når du blir bedt om det, skriver du inn påloggingslegitimasjonen til kunden i Cisco Webex Control Hub, og klikker på Godta for å fortsette.

                                                                                                                                                  8. Importer ISO-filen for gjeldende konfigurasjon.

                                                                                                                                                  9. Følg instruksjonene for å fullføre verktøyet og laste ned den oppdaterte filen.

                                                                                                                                                    Hvis du vil avslutte konfigureringsverktøyet, skriver du inn CTRL+C.

                                                                                                                                                  10. Opprett en sikkerhetskopi av den oppdaterte ISO-filen i et annet datasenter.

                                                                                                                                                  2

                                                                                                                                                  Hvis du kun kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den via den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, se Opprett og registrer flere noder .

                                                                                                                                                  1. Installer HDS-verten OVA.

                                                                                                                                                  2. Konfigurer HDS VM.

                                                                                                                                                  3. Monter den oppdaterte konfigurasjonsfilen.

                                                                                                                                                  4. Registrer den nye noden i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  For eksisterende HDS-noder som kjører den eldre konfigurasjonsfil, monterer du ISO-filen. Utfør følgende prosedyre på hver node etter tur, og oppdater hver node før du slår av neste node:

                                                                                                                                                  1. Slå av den virtuelle maskinen.

                                                                                                                                                  2. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

                                                                                                                                                  3. Klikk CD/DVD Drive 1 Klikk på CD/DVD-stasjon 1, velg alternativet for montering fra en ISO-fil, og bla til plasseringen der du lastet ned den nye ISO-konfigurasjonsfilen.

                                                                                                                                                  4. Kontroller Koble til ved strøm på.

                                                                                                                                                  5. Lagre endringene og slå på den virtuelle maskinen.

                                                                                                                                                  4

                                                                                                                                                  Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen.

                                                                                                                                                  Deaktiver blokkert ekstern DNS-oppløsningsmodus

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modusen blokkert ekstern DNS-oppløsning.

                                                                                                                                                  Hvis nodene kan løse offentlige DNS-navn via interne DNS-servere, kan du deaktivere denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.

                                                                                                                                                  Før du starter

                                                                                                                                                  Kontroller at de interne DNS-serverne kan løse offentlige DNS-navn, og at nodene kan kommunisere med dem.
                                                                                                                                                  1

                                                                                                                                                  Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/-oppsett, for eksempel https://192.0.2.0/setup),angi administratorlegitimasjonen du konfigurerte for noden, og klikk deretter på Logg på.

                                                                                                                                                  2

                                                                                                                                                  Gå til Oversikt (standardsiden).

                                                                                                                                                  Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja.

                                                                                                                                                  3

                                                                                                                                                  Gå til siden Klareringslager og proxy.

                                                                                                                                                  4

                                                                                                                                                  Klikk på Kontroller proxy-tilkobling.

                                                                                                                                                  Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og den vil forbli i denne modusen. Ellers, etter at du har startet noden på nytt og gått tilbake til Oversikt-siden, bør Blokkert ekstern DNS-oppløsning settes til Nei.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Gjenta proxy-tilkoblingstesten for hver node i klyngen for hybriddatasikkerhet.

                                                                                                                                                  Fjerne en node

                                                                                                                                                  Bruk denne fremgangsmåten til å fjerne en hybrid datasikkerhetsnode fra Webex-skyen. Når du har fjernet noden fra klyngen, sletter du den virtuell maskin for å forhindre ytterligere tilgang til sikkerhetsdataene dine.
                                                                                                                                                  1

                                                                                                                                                  Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuell maskin.

                                                                                                                                                  2

                                                                                                                                                  Fjern noden:

                                                                                                                                                  1. Logg på Control Hub, og velg deretter Tjenester .

                                                                                                                                                  2. På Hybrid Data Security-kortet klikker du på Vis alle for å vise siden Hybriddatasikkerhetsressurser.

                                                                                                                                                  3. Velg klyngen for å vise oversiktspanelet.

                                                                                                                                                  4. Klikk på Åpne nodeliste .

                                                                                                                                                  5. Velg noden du vil fjerne, i Noder-fanen.

                                                                                                                                                  6. Klikk på Handlinger > Avregistrere node .

                                                                                                                                                  3

                                                                                                                                                  Slett den virtuelle maskinen i vSphere-klienten. (I venstre navigasjonsrute høyreklikk du på den virtuelle maskinen og klikker Slett .)

                                                                                                                                                  Hvis du ikke sletter den virtuelle maskinen, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke den virtuelle maskinen til å få tilgang til sikkerhetsdataene dine.

                                                                                                                                                  Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus

                                                                                                                                                  Den mest kritiske tjenesten Hybrid Data Security-klyngen tilbyr, er opprettelse og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet Hybrid Data Security, rutes nye forespørsler om å opprette nøkkel til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til alle brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.

                                                                                                                                                  Siden klyngen utfører den kritiske funksjonen med å oppgi disse nøklene, er det viktig at klyngen fortsetter å kjøre og at forsvarlige sikkerhetskopier opprettholdes. Tap av Hybrid Data Security-databasen eller av ISO-konfigurasjonen som ble brukt for skjemaet, vil føre til TAP av kundeinnhold som ikke kan gjenopprettes. Følgende fremgangsmåter er obligatoriske for å forhindre slikt tap:

                                                                                                                                                  Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenter blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til datasenter i ventemodus.

                                                                                                                                                  1

                                                                                                                                                  Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger

                                                                                                                                                  3

                                                                                                                                                  Avanserte innstillinger side, legger du til konfigurasjonen nedenfor eller fjerner passiveMode konfigurasjon for å gjøre noden aktiv. Noden kan håndtere trafikk når dette er konfigurert.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne.

                                                                                                                                                  5

                                                                                                                                                  Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer.

                                                                                                                                                  6

                                                                                                                                                  I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. .

                                                                                                                                                  7

                                                                                                                                                  Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.


                                                                                                                                                   

                                                                                                                                                  Sørg for Tilkoblet og Koble til når strømmen er på er kontrollert slik at oppdaterte konfigurasjonsendringer kan tre i kraft etter at nodene er startet.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gjenta prosessen for hver node i datasenter i ventemodus.


                                                                                                                                                   

                                                                                                                                                  Kontroller syslog-utdataene for å bekrefte at nodene til datasenter i ventemodus ikke er i passiv modus. «KMS konfigurert i passiv modus» skal ikke vises i syslogs.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Hvis det primære datasenter blir aktivt igjen etter failover, setter du datasenter i passiv modus på nytt ved å følge trinnene beskrevet i Konfigurere datasenter i ventemodus for katastrofegjenoppretting .

                                                                                                                                                  (Valgfritt) Avmonter ISO etter HDS-konfigurasjon

                                                                                                                                                  Standard HDS-konfigurasjonen kjører med ISO-en montert. Men noen kunder foretrekker å ikke la ISO-filer være kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-noder har plukket opp den nye konfigurasjonen.

                                                                                                                                                  Du bruker fortsatt ISO-filene til å gjøre konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO via installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene dine har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en på nytt med denne prosedyren.

                                                                                                                                                  Før du starter

                                                                                                                                                  Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.

                                                                                                                                                  1

                                                                                                                                                  Avslutt én av HDS-nodene dine.

                                                                                                                                                  2

                                                                                                                                                  I vCenter Server Appliance velger du HDS-noden.

                                                                                                                                                  3

                                                                                                                                                  Velg Rediger innstillinger > CD/DVD-stasjon og fjern merket ISO-fil for datalager .

                                                                                                                                                  4

                                                                                                                                                  Slå på HDS-noden og kontroller at det ikke er noen alarmer på minst 20 minutter.

                                                                                                                                                  5

                                                                                                                                                  Gjenta for hver HDS-node etter tur.

                                                                                                                                                  Feilsøke hybrid datasikkerhet

                                                                                                                                                  Vis varsler og feilsøking

                                                                                                                                                  En Hybrid Data Security-distribusjon anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller hvis klyngen fungerer så sakte at forespørslene tidsavbrudd. Hvis brukere ikke kan nå Hybrid Data Security-klyngen, opplever de følgende symptomer:

                                                                                                                                                  • Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)

                                                                                                                                                  • Meldinger og områdetitler kan ikke dekrypteres for:

                                                                                                                                                    • Nye brukere lagt til i et område (kan ikke hente nøkler)

                                                                                                                                                    • Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)

                                                                                                                                                  • Eksisterende brukere i et område fortsetter å kjøre så lenge klientene deres har en hurtigbuffer for krypteringsnøklene

                                                                                                                                                  Det er viktig at du overvåker Hybrid Data Security-klyngen på riktig måte og adresserer alle varsler umiddelbart for å unngå avbrudd i tjenesten.

                                                                                                                                                  Varsler

                                                                                                                                                  Hvis det er et problem med oppsettet av Hybrid Data Security, viser Control Hub varsler til administrator og sender e-postmeldinger til den konfigurerte e-postadresse. Varslene dekker mange vanlige scenarier.

                                                                                                                                                  Tabell 1. Vanlige problemer og fremgangsmåten for å løse dem

                                                                                                                                                  Varsel

                                                                                                                                                  Handling

                                                                                                                                                  Feil ved tilgang til lokal database.

                                                                                                                                                  Se etter databasefeil eller problemer med det lokale nettverket.

                                                                                                                                                  tilkoblingsfeil til lokal database.

                                                                                                                                                  Kontroller at databaseserver er tilgjengelig, og at riktig påloggingsinformasjon for tjenestekonto ble brukt i nodekonfigurasjonen.

                                                                                                                                                  Tilgangsfeil for skytjeneste.

                                                                                                                                                  Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling .

                                                                                                                                                  Fornyer registrering av skytjeneste.

                                                                                                                                                  Registrering for skytjenester ble avbrutt. Fornyelse av registrering pågår.

                                                                                                                                                  Registrering av skytjeneste ble avbrutt.

                                                                                                                                                  Registreringen til skytjenester ble avsluttet. Tjenesten avsluttes.

                                                                                                                                                  Tjenesten ikke aktivert ennå.

                                                                                                                                                  Aktiver en prøveversjon, eller fullfør flyttingen av prøveversjonen til produksjon.

                                                                                                                                                  Det konfigurerte domenet samsvarer ikke med serversertifikat.

                                                                                                                                                  Kontroller at serversertifikat samsvarer med det konfigurerte domenet for tjenesteaktivering.

                                                                                                                                                  Den mest sannsynlige årsaken er at sertifikatet CN nylig ble endret og nå er forskjellig fra CN som ble brukt under det første oppsettet.

                                                                                                                                                  Kunne ikke autentisere for skytjenester.

                                                                                                                                                  Se etter nøyaktighet og mulig utløp av legitimasjon for tjenestekonto .

                                                                                                                                                  Kunne ikke åpne den lokale nøkkellagerfilen.

                                                                                                                                                  Se etter integritet og passordnøyaktighet i den lokale nøkkellagerfilen.

                                                                                                                                                  Det lokale serversertifikat er ugyldig.

                                                                                                                                                  Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans.

                                                                                                                                                  Kan ikke legge inn beregninger.

                                                                                                                                                  Sjekk lokal nettverkstilgang til eksterne skytjenester.

                                                                                                                                                  Katalogen /media/configdrive/hds finnes ikke.

                                                                                                                                                  Kontroller konfigurasjonen for ISO-montering på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å montere ved omstart, og at den er vellykket.

                                                                                                                                                  Feilsøke hybrid datasikkerhet

                                                                                                                                                  Bruk følgende generelle retningslinjer når du feilsøker problemer med Hybrid Data Security.
                                                                                                                                                  1

                                                                                                                                                  Se gjennom Control Hub for å se eventuelle varsler, og reparer alle elementer du finner der.

                                                                                                                                                  2

                                                                                                                                                  Se gjennom syslog-serverutdataene for aktivitet fra Hybrid Data Security-distribusjonen.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco-støtte .

                                                                                                                                                  Andre merknader

                                                                                                                                                  Kjente problemer med hybrid datasikkerhet

                                                                                                                                                  • Hvis du avslutter Hybrid Data Security-klyngen (ved å slette den i Control Hub eller ved å avslutte alle noder), mister ISO-konfigurasjonsfilen eller mister tilgangen til nøkkellagerdatabasen, kan brukerne av Webex-appen ikke lenger bruke områder under Personene sine liste som ble opprettet med nøkler fra KMS. Dette gjelder både prøveversjon og produksjonsdistribusjoner. Vi har for øyeblikket ingen løsning eller løsning for dette problemet, og vi ber deg innstendig om ikke å avslutte HDS-tjenestene dine når de håndterer aktive brukerkontoer.

                                                                                                                                                  • En klient som har en eksisterende ECDH-tilkobling til en KMS, opprettholder denne tilkoblingen i en periode (sannsynligvis én time). Når en bruker blir medlem av en prøveversjon av Hybrid Data Security, fortsetter brukerens klient å bruke den eksisterende ECDH-tilkoblingen frem til tidsavbrudd. Alternativt kan brukeren logge av og på igjen Webex-appen for å oppdatere plasseringen appen kontakter for krypteringsnøkler.

                                                                                                                                                    Den samme virkemåten oppstår når du flytter en prøveversjon til produksjon for organisasjonen. Alle ikke-prøvebrukere med eksisterende ECDH-tilkoblinger til de tidligere datasikkerhetstjenestene vil fortsette å bruke disse tjenestene til ECDH-tilkoblingen reforhandles (gjennom tidsavbrudd eller ved å logge av og på igjen).

                                                                                                                                                  Bruk OpenSSL til å generere en PKCS12-fil

                                                                                                                                                  Før du starter

                                                                                                                                                  • OpenSSL er ett verktøy som kan brukes til å gjøre PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi hverken støtter eller promoterer én måte fremfor en annen.

                                                                                                                                                  • Hvis du velger å bruke OpenSSL, tilbyr vi denne fremgangsmåten som en retningslinje for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i Krav til X.509-sertifikater . Forstå disse kravene før du fortsetter.

                                                                                                                                                  • Installer OpenSSL i et støttet miljø. Sehttps://www.openssl.org for programvaren og dokumentasjonen.

                                                                                                                                                  • Opprett en privat nøkkel.

                                                                                                                                                  • Start denne prosedyren når du mottar serversertifikat fra sertifiseringsinstans (CA).

                                                                                                                                                  1

                                                                                                                                                  Når du mottar serversertifikat fra CA, lagrer du det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Vis sertifikatet som tekst, og bekreft detaljene.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Bruk et tekstredigeringsprogram til å opprette en sertifikatpakkefil kalt hdsnode-bundle.pem. Gruppefilen må inneholde serversertifikat, eventuelle mellomliggende CA-sertifikater og CA-rotsertifikatene, i formatet nedenfor:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Opprett .p12-filen med det vennlige navnet kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontroller serversertifikat .

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Skriv inn et passord når du blir bedt om det for å kryptere den private nøkkelen slik at den vises i utdataene. Deretter kontrollerer du at den private nøkkelen og det første sertifikatet inkluderer linjene friendlyName: kms-private-key.

                                                                                                                                                    Eksempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Hva nå?

                                                                                                                                                  Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet . Du vil bruke hdsnode.p12 filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-vertene .


                                                                                                                                                   

                                                                                                                                                  Du kan bruke disse filene på nytt til å be om et nytt sertifikat når det opprinnelige sertifikatet utløper.

                                                                                                                                                  Trafikk mellom HDS-nodene og skyen

                                                                                                                                                  Utgående trafikk for innsamling av beregninger

                                                                                                                                                  Hybriddatasikkerhetsnodene sender bestemte beregninger til Webex-skyen. Disse inkluderer systemmålinger for maks. haug, brukt haug, CPU-belastning og antall tråder. målinger for synkrone og asynkrone tråder; målinger for varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller en forespørselskølengde; målinger på datalageret; og måleverdier for krypteringstilkobling. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).

                                                                                                                                                  Innkommende trafikk

                                                                                                                                                  Hybriddatasikkerhetsnodene mottar følgende typer innkommende trafikk fra Webex-skyen:

                                                                                                                                                  • Krypteringsforespørsler fra klienter, som rutes av krypteringstjenesten

                                                                                                                                                  • Oppgraderinger til nodeprogramvaren

                                                                                                                                                  Konfigurer Squid-proxyer for hybrid datasikkerhet

                                                                                                                                                  Websocket kan ikke koble til via Squid-proxy

                                                                                                                                                  Squid-proxyer som inspiserer HTTPS-trafikk, kan forstyrre etableringen av websocket ( wss:)-tilkoblinger som Hybrid Data Security krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss: trafikk for riktig drift av tjenestene.

                                                                                                                                                  Squid 4 og 5

                                                                                                                                                  Legg til on_unsupported_protocol direktiv til squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi testet Hybrid Data Security med følgende regler lagt til squid.conf. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Forord

                                                                                                                                                  Ny og endret informasjon

                                                                                                                                                  Dato

                                                                                                                                                  Endringer gjort

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  7. august 2023

                                                                                                                                                  23. mai 2023

                                                                                                                                                  6. desember 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop må kjøre et installasjonsprogram før du kan installere HDS-noder. Se Krav til Docker-skrivebord .

                                                                                                                                                  24. juni 2021

                                                                                                                                                  Merk at du kan bruke den private nøkkelfilen og CSR-en på nytt for å be om et annet sertifikat. Se Bruk OpenSSL til å generere en PKCS12-fil for detaljer.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Endret VM-kravet for lokal harddiskplass til 30 GB. Se Krav til virtuell vert for detaljer.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  HDS-installasjonsverktøyet kan nå kjøres bak en proxy. Se Opprett en konfigurasjons-ISO for HDS-vertene for detaljer.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS kan nå kjøres uten en montert ISO-fil. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Lagt til informasjon om HDS-oppsettverktøy og proxyer til Opprett en konfigurasjons-ISO for HDS-vertene .

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Oppdatert Last ned installasjonsfiler .

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med kommandoer for FedRAMP-miljøer.

                                                                                                                                                  14. august 2020

                                                                                                                                                  Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med endringer i påloggingsprosessen.

                                                                                                                                                  5. august 2020

                                                                                                                                                  Oppdatert Test hybriddistribusjonen av datasikkerhet for endringer i loggmeldinger.

                                                                                                                                                  Oppdatert Krav til virtuell vert for å fjerne maksimalt antall verter.

                                                                                                                                                  16. juni 2020

                                                                                                                                                  Oppdatert Fjerne en node for endringer i Control Hub-grensesnittet.

                                                                                                                                                  4. juni 2020

                                                                                                                                                  Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for endringer i de avanserte innstillingene du måtte angi.

                                                                                                                                                  29. mai 2020

                                                                                                                                                  Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for å vise at du også kan bruke TLS med SQL Server-databaser, brukergrensesnittendringer og andre presiseringer.

                                                                                                                                                  5. mai 2020

                                                                                                                                                  Oppdatert Krav til virtuell vert for å vise nye krav til ESXi 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Oppdatert Krav til ekstern tilkobling med nye Americas CI-verter.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Oppdatert Krav til ekstern tilkobling med informasjon om regionale CI-verter.

                                                                                                                                                  20. februar 2020Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med informasjon om det nye, valgfrie skjermbildet for avanserte innstillinger i HDS-oppsettverktøyet.
                                                                                                                                                  4. februar 2020Oppdatert Krav til proxy-server .
                                                                                                                                                  16. desember 2019Klargjorde kravet om at blokkert ekstern DNS-oppløsningsmodus skal fungere i Krav til proxy-server .
                                                                                                                                                  19. november 2019

                                                                                                                                                  La til informasjon om blokkert ekstern DNS-oppløsningsmodus i følgende deler:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Du kan nå konfigurere nettverksinnstillinger for en node mens du distribuerer OVA i stedet for etterpå.

                                                                                                                                                  Oppdaterte følgende deler tilsvarende:


                                                                                                                                                   

                                                                                                                                                  Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon har blitt testet med ESXi 6.5. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Lagt til SQL Server Standard i Krav til databaseserver .

                                                                                                                                                  29. august 2019Lagt til Konfigurer Squid-proxyer for hybrid datasikkerhet vedlegg med veiledning om konfigurering av Squid-proxyer til å ignorere websocket-trafikk for riktig drift.
                                                                                                                                                  20. august 2019

                                                                                                                                                  Lagt til og oppdaterte deler for å dekke proxy-støtte for hybrid datasikkerhetsnodekommunikasjon til Webex-skyen.

                                                                                                                                                  Hvis du bare vil ha tilgang til proxy-støtteinnholdet for en eksisterende distribusjon, kan du se Proxy-støtte for hybrid datasikkerhet og Webex-videonett hjelpeartikkel.

                                                                                                                                                  13. juni 2019Oppdatert Oppgaveflyt fra prøveversjon til produksjon med en påminnelse om å synkronisere HdsTrialGroup gruppeobjekt før du starter en prøveversjon hvis organisasjonen bruker katalogsynkronisering.
                                                                                                                                                  6. mars 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Korrigerte mengden lokal harddiskplass per server som du bør sette til side når du klargjør de virtuelle vertene som blir Hybrid Data Security-nodene, fra 50 GB til 20 GB, for å gjenspeile størrelsen på disken som OVA-en oppretter.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Hybrid Data Security-noder støtter nå krypterte tilkoblinger med PostgreSQL-databaseservere, og krypterte loggingstilkoblinger til en TLS-kompatibel syslog-server. Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med instruksjoner.

                                                                                                                                                  • Fjernet destinasjonsadresser fra tabellen Krav til Internett-tilkobling for virtuelle hybriddatasikkerhetsnoder. Tabellen viser nå til listen som vedlikeholdes i tabellen «Flere URL-adresser for Webex Teams-hybridtjenester» for Nettverkskrav for Webex Teams-tjenester .

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid Data Security støtter nå Microsoft SQL Server som en database. SQL Server Alltid på (Alltid på failover-klynger og Alltid på tilgjengelighetsgrupper) støttes av JDBC-driverne som brukes i Hybrid Data Security. Lagt til innhold relatert til distribusjon med SQL Server.


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server-støtte er bare ment for nye distribusjoner av hybriddatasikkerhet. Vi støtter for øyeblikket ikke overføring av data fra PostgreSQL til Microsoft SQL Server i en eksisterende distribusjon.

                                                                                                                                                  5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. juli 2018

                                                                                                                                                  21. mai 2018

                                                                                                                                                  Endret terminologi for å gjenspeile endringen av varemerke for Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security er nå Hybrid Data Security.

                                                                                                                                                  • Cisco Spark-appen er nå Webex-appen.

                                                                                                                                                  • Cisco Collaboraton Cloud er nå Webex-skyen.

                                                                                                                                                  11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • I Krav til X.509-sertifikater tabellen, angitt at sertifikatet ikke kan være et jokertegnsertifikat, og at KMS bruker CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  2. november 2017

                                                                                                                                                  • Tydeliggjort katalogsynkronisering av HdsTrialGroup.

                                                                                                                                                  • Løste instruksjoner for opplasting av ISO konfigurasjonsfil for montering til VM-nodene.

                                                                                                                                                  18. august 2017

                                                                                                                                                  Først publisert

                                                                                                                                                  Kom i gang med Hybrid Data Security

                                                                                                                                                  Oversikt over hybrid datasikkerhet

                                                                                                                                                  Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er ende-til-ende-kryptering av innhold, aktivert av Webex App-klienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografinøklene som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.

                                                                                                                                                  Som standard får alle Webex App-kunder ende-til-ende-kryptering med dynamiske nøkler lagret i KMS-skyen, i Ciscos sikkerhetsområde. Hybrid datasikkerhet flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, slik at ingen andre enn deg har nøklene til ditt krypterte innhold.

                                                                                                                                                  Arkitektur for sikkerhetsriket

                                                                                                                                                  Webex-skyarkitekturen skiller forskjellige typer tjenester i separate områder, eller klareringsdomener, som vist nedenfor.

                                                                                                                                                  Separasjonsområder (uten hybrid datasikkerhet)

                                                                                                                                                  For å forstå Hybrid Data Security ytterligere, la oss først se på dette rene skysaken, der Cisco leverer alle funksjoner i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan korreleres direkte med personlig informasjon, for eksempel e-postadresse, er logisk og fysisk atskilt fra sikkerhetsområdet i datasenter B. Begge er igjen atskilt fra området der kryptert innhold til slutt lagres , i datasenter C.

                                                                                                                                                  I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og som er autentisert med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:

                                                                                                                                                  1. Klienten oppretter en sikker tilkobling med nøkkelbehandlingstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikker tilkobling bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en AES-256-hovednøkkel.

                                                                                                                                                  2. Meldingen krypteres før den forlater klienten. Klienten sender den til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe til med fremtidige søk etter innholdet.

                                                                                                                                                  3. Den krypterte meldingen sendes til samsvarstjenesten for samsvarskontroll.

                                                                                                                                                  4. Den krypterte meldingen lagres i lagringsområdet.

                                                                                                                                                  Når du distribuerer Hybrid Data Security, flytter du sikkerhetsområdets funksjoner (KMS, indeksering og samsvar) til det lokale datasenter. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos riker.

                                                                                                                                                  Samarbeide med andre organisasjoner

                                                                                                                                                  Brukere i organisasjonen din kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen (fordi det ble opprettet av en av brukerne), sender KMS-en nøkkelen til klienten over en ECDH-sikker kanal. Når en annen organisasjon eier nøkkelen for området, ruter KMS-en imidlertid forespørselen ut til Webex-skyen gjennom en egen ECDH-kanal for å hente nøkkelen fra riktig KMS, og returnerer deretter nøkkelen til brukeren på den opprinnelige kanalen.

                                                                                                                                                  KMS-tjenesten som kjøres på organisasjon A, validerer tilkoblingene til KMS-er i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet ditt for detaljer om generering av et x.509-sertifikat som skal brukes med Hybrid Data Security-distribusjonen.

                                                                                                                                                  Forventninger for distribusjon av hybrid datasikkerhet

                                                                                                                                                  En Hybrid Data Security-distribusjon krever betydelig kundeengasjement og en bevissthet om risikoene som følger med å eie krypteringsnøkler.

                                                                                                                                                  Hvis du vil distribuere Hybrid Data Security, må du oppgi:

                                                                                                                                                  Fullstendig tap av enten konfigurasjons-ISO-en du bygger for Hybrid Data Security eller databasen du oppgir, vil føre til tap av nøklene. Tap av nøkkel forhindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:

                                                                                                                                                  • Behandle sikkerhetskopieringen og gjenopprettingen av databasen og konfigurasjonen av ISO.

                                                                                                                                                  • Vær forberedt på å utføre rask gjenoppretting ved katastrofegjenoppretting hvis det oppstår en katastrofe, for eksempel en databasediskfeil eller en datasenter .


                                                                                                                                                   

                                                                                                                                                  Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon.

                                                                                                                                                  Konfigurasjonsprosess på høyt nivå

                                                                                                                                                  Dette dokumentet dekker oppsett og administrasjon av en Hybrid Data Security-distribusjon:

                                                                                                                                                  • Konfigurer Hybrid Data Security – Dette inkluderer klargjøring av nødvendig infrastruktur og installasjon av Hybrid Data Security-programvare, testing av distribusjonen med et undersett av brukere i prøveversjonsmodus, og, når testingen er fullført, overgang til produksjon. Dette konverterer hele organisasjonen til å bruke Hybrid Data Security-klyngen for sikkerhetsfunksjoner.

                                                                                                                                                    Oppsett-, prøve- og produksjonsfasene dekkes i detalj i de neste tre kapitlene.

                                                                                                                                                  • Vedlikeholde Hybrid Data Security-distribusjonen – Webex-skyen gir automatisk løpende oppgraderinger. IT-avdelingen din kan tilby nivå 1-støtte for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke skjermvarsler og konfigurere e-postbaserte varsler i Control Hub.

                                                                                                                                                  • Forstå vanlige varsler, feilsøkingstrinn og kjente problemer –Hvis du får problemer med å distribuere eller bruke Hybrid Data Security, kan det siste kapitlet i denne veiledningen og tillegget Kjente problemer hjelpe deg med å finne ut og løse problemet.

                                                                                                                                                  Hybrid distribusjonsmodell for datasikkerhet

                                                                                                                                                  I foretningsdata distribuerer du Hybrid Data Security som én enkelt klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen gjennom sikre websockets og sikker HTTP.

                                                                                                                                                  Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere den virtuelle enheten på de virtuelle maskinene du oppgir. Du bruker installasjonsverktøyet for HDS til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Hybrid Data Security-klyngen bruker den medfølgende Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)

                                                                                                                                                  Hybrid distribusjonsmodell for datasikkerhet

                                                                                                                                                  Det minste antallet noder du kan ha i en klynge, er to. Vi anbefaler minst tre, og du kan ha opptil fem. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)

                                                                                                                                                  Alle nodene i en klynge har tilgang til det samme nøkkeldatalageret og loggaktiviteten til den samme syslog-serveren. Nodene i seg selv er statsløse og håndterer nøkkelforespørsler på en roundrobin-måte, som anvist av skyen.

                                                                                                                                                  Nodene blir aktive når du registrerer dem i Control Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.

                                                                                                                                                  Vi støtter bare én klynge per organisasjon.

                                                                                                                                                  Prøveversjonsmodus for hybrid datasikkerhet

                                                                                                                                                  Etter at du har satt opp en Hybrid Data Security-distribusjon, kan du først prøve den med et sett med pilotbrukere. I løpet av prøveperioden bruker disse brukerne det lokale Hybrid Data Security-domenet ditt for krypteringsnøkler og andre sikkerhetstjenester. De andre brukerne dine fortsetter å bruke sikkerhetsområdet for skyen.

                                                                                                                                                  Hvis du bestemmer deg for ikke å fortsette med distribusjonen i løpet av prøveperioden og deaktivere tjenesten, mister pilotbrukerne og alle brukere de har samhandlet med ved å opprette nye områder i løpet av prøveperioden tilgangen til meldingene og innholdet. De vil se «Denne meldingen kan ikke dekrypteres» i Webex-appen.

                                                                                                                                                  Hvis du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, og du er klar til å utvide Hybrid Data Security til alle brukerne, flytter du distribusjonen til produksjon. Pilotbrukere fortsetter å ha tilgang til nøklene som var i bruk under prøveversjonen. Du kan imidlertid ikke gå frem og tilbake mellom produksjonsmodus og den opprinnelige prøveversjonen. Hvis du må deaktivere tjenesten, for eksempel for å utføre katastrofegjenoppretting, må du starte en ny prøveversjon og konfigurere settet med pilotbrukere for den nye prøveversjonen før du går tilbake til produksjonsmodus når du aktiverer den. Hvorvidt brukere beholder tilgangen til data på dette tidspunktet, avhenger av om du har vedlikeholdt sikkerhetskopier av datalager og ISO konfigurasjonsfil for Hybrid Data Security-nodene i klyngen.

                                                                                                                                                  Datasenter i ventemodus for katastrofegjenoppretting

                                                                                                                                                  Under distribusjonen konfigurerer du et sikkert datasenter i ventemodus . I tilfelle en datasenter , kan du feile distribusjonen manuelt over til datasenter i ventemodus .

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuell failover til datasenter i ventemodus

                                                                                                                                                  Databasene til det aktive datasenteret og datasenteret i ventemodus er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover. ISO-filen til datasenter for ventemodus oppdateres med flere konfigurasjoner som sikrer at nodene registreres i organisasjonen, men ikke håndterer trafikk. Derfor forblir nodene i standby datasenter alltid oppdatert med den nyeste versjonen av HDS-programvaren.


                                                                                                                                                   

                                                                                                                                                  De aktive hybriddatasikkerhetsnodene må alltid være i samme datasenter som den aktive databaseserver.

                                                                                                                                                  Konfigurere datasenter i ventemodus for katastrofegjenoppretting

                                                                                                                                                  Følg trinnene nedenfor for å konfigurere ISO-filen for datasenter i ventemodus:

                                                                                                                                                  Før du starter

                                                                                                                                                  • datasenter i ventemodus skal speile produksjonsmiljøet til virtuelle maskiner og en sikkerhetskopi av PostgreSQL- eller Microsoft SQL Server-database. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. (Se Datasenter i ventemodus for katastrofegjenoppretting for en oversikt over denne failover-modellen.)

                                                                                                                                                  • Kontroller at databasesynkronisering er aktivert mellom databasen med aktive og passive klyngenoder.

                                                                                                                                                  1

                                                                                                                                                  Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .


                                                                                                                                                   

                                                                                                                                                  ISO-filen må være en kopi av den originale ISO-filen til det primære datasenter som følgende konfigurasjonsoppdateringer skal utføres på.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger

                                                                                                                                                  3

                                                                                                                                                  Avanserte innstillinger side, legger du til konfigurasjonen nedenfor for å plassere noden i passiv modus. I denne modusen vil noden være registrert i organisasjonen og koblet til skyen, men vil ikke håndtere trafikk.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne.

                                                                                                                                                  5

                                                                                                                                                  Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer.

                                                                                                                                                  6

                                                                                                                                                  I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. .

                                                                                                                                                  7

                                                                                                                                                  Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.


                                                                                                                                                   

                                                                                                                                                  Sørg for Tilkoblet og Koble til når strømmen er på er kontrollert slik at oppdaterte konfigurasjonsendringer kan tre i kraft etter at nodene er startet.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gjenta prosessen for hver node i datasenter i ventemodus.


                                                                                                                                                   

                                                                                                                                                  Kontroller syslogs for å bekrefte at nodene er i passiv modus. Du skal kunne se meldingen «KMS konfigurert i passiv modus» i syslogs.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Etter konfigurering passiveMode i ISO-filen og lagrer den, kan du opprette en annen kopi av ISO-filen uten passiveMode konfigurasjonen og lagre den på et sikkert sted. Denne kopien av ISO-filen uten passiveMode konfigurert kan hjelpe i en rask failover-prosess under katastrofegjenoppretting. Se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus for den detaljerte failover-prosedyren.

                                                                                                                                                  Proxy-støtte

                                                                                                                                                  Hybriddatasikkerhet støtter eksplisitte, gjennomsiktige proxyer for inspeksjon og ikke-inspeksjon. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et grensesnitt for plattformadministrasjon på nodene for sertifikatadministrasjon og kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.

                                                                                                                                                  Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:

                                                                                                                                                  • Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Klareringslager og proxy-konfigurasjon til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.

                                                                                                                                                  • Gjennomsiktig ikke-inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse, og bør ikke trenge endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.

                                                                                                                                                  • Gjennomsiktig tunnelering eller inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjon er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de klarerer proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer om hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).

                                                                                                                                                  • Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og hvilken godkjenningsplan som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon for hver node:

                                                                                                                                                    1. Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

                                                                                                                                                    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

                                                                                                                                                    3. Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:

                                                                                                                                                      • HTTP – Viser og kontrollerer alle forespørsler som klienten sender.

                                                                                                                                                      • HTTPS – Gir en kanal til serveren. Klienten mottar og godkjenner serverens sertifikat.

                                                                                                                                                    4. Godkjenningstype – Velg blant følgende godkjenningstyper:

                                                                                                                                                      • Ingen – Ingen ytterligere godkjenning er nødvendig.

                                                                                                                                                        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

                                                                                                                                                      • Grunnleggende – Brukes for en HTTP-brukeragent til å angi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

                                                                                                                                                        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

                                                                                                                                                        Krever at du skriver inn brukernavn og passord for hver node.

                                                                                                                                                      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

                                                                                                                                                        Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.

                                                                                                                                                        Krever at du skriver inn brukernavn og passord for hver node.

                                                                                                                                                  Eksempel på noder og proxy for hybriddatasikkerhet

                                                                                                                                                  Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og HTTPS eksplisitt inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.

                                                                                                                                                  Blokkert ekstern DNS-oppløsningsmodus (eksplisitt proxy-konfigurasjoner)

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsningsmodus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.

                                                                                                                                                  Forbered miljøet ditt

                                                                                                                                                  Krav for hybrid datasikkerhet

                                                                                                                                                  Krav til Docker-skrivebord

                                                                                                                                                  Før du installerer HDS-nodene, må du ha Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig lisensieringsmodellen. Organisasjonen din kan kreve et betalt abonnement for Docker Desktop. Hvis du vil ha mer informasjon, se Docker-blogginnlegget, « Docker oppdaterer og utvider produktabonnementene våre «.

                                                                                                                                                  Krav til X.509-sertifikater

                                                                                                                                                  sertifikatkjede må oppfylle følgende krav:

                                                                                                                                                  Tabell 1. X.509-sertifikatkrav for hybrid distribusjon av datasikkerhet

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Signert av en klarert sertifiseringsinstans (CA)

                                                                                                                                                  Som standard klarerer vi sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) påhttps://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Bærer et Common Name- domenenavn (CN) som identifiserer Hybrid Data Security-distribusjonen

                                                                                                                                                  • Er ikke et jokertegnsertifikat

                                                                                                                                                  CN-en trenger ikke å være tilgjengelig eller være en direktevert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel hds.company.com.

                                                                                                                                                  CN kan ikke inneholde en * (jokertegn).

                                                                                                                                                  CN brukes til å bekrefte hybriddatasikkerhetsnodene til Webex App-klienter. Alle hybriddatasikkerhetsnodene i klyngen bruker det samme sertifikatet. KMS-en din identifiserer seg ved hjelp av CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene.

                                                                                                                                                  Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN- domenenavn. Velg et domene som kan gjelde for både prøveversjonen og produksjonsdistribusjonene.

                                                                                                                                                  • Signatur som ikke er SHA1

                                                                                                                                                  KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjoners KMS-er.

                                                                                                                                                  • Formatert som en passordbeskyttet PKCS #12-fil

                                                                                                                                                  • Bruk det vennlige navnet på kms-private-key for å merke sertifikatet, den private nøkkelen og eventuelle mellomsertifikater som skal lastes opp.

                                                                                                                                                  Du kan bruke et konverteringsprogram som OpenSSL til å endre sertifikatets format.

                                                                                                                                                  Du må angi passordet når du kjører HDS-installasjonsverktøyet.

                                                                                                                                                  KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifiseringsinstanser krever at utvidede begrensninger for nøkkelbruk brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.

                                                                                                                                                  Krav til virtuell vert

                                                                                                                                                  De virtuelle vertene som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen, har følgende krav:

                                                                                                                                                  • Minst to separate verter (tre anbefales) plassert i det samme sikre datasenter

                                                                                                                                                  • VMware ESXi 6.5 (eller nyere) er installert og kjører.


                                                                                                                                                     

                                                                                                                                                    Du må oppgradere hvis du har en tidligere versjon av ESXi.

                                                                                                                                                  • Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokal harddiskplass per server

                                                                                                                                                  Krav til databaseserver


                                                                                                                                                   

                                                                                                                                                  Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene, når de er installert, oppretter databaseskjemaet.

                                                                                                                                                  Det finnes to alternativer for databaseserver. Kravene for hver av dem er som følger:

                                                                                                                                                  Tabell 2. Krav til databaseserver etter databasetype

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installert og kjører.

                                                                                                                                                  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) er installert.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 krever Service Pack 2 og kumulativ oppdatering 2 eller senere.

                                                                                                                                                  Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

                                                                                                                                                  Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

                                                                                                                                                  HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC-driver 42.2.5

                                                                                                                                                  SQL Server JDBC-driver 4.6

                                                                                                                                                  Denne driverversjonen støtter SQL Server Always On ( Alltid på failover-klyngeforekomster og Alltid på tilgjengelighetsgrupper ).

                                                                                                                                                  Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server

                                                                                                                                                  Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:

                                                                                                                                                  • HDS-nodene, Active Directory -infrastrukturen og MS SQL Server må alle være synkronisert med NTP.

                                                                                                                                                  • Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.

                                                                                                                                                  • DNS-serverne du oppgir til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).

                                                                                                                                                  • Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et Service Principal Name (SPN) i Active Directory. Se Registrer et hovednavn for tjeneste for Kerberos Connections .

                                                                                                                                                    HDS-oppsettverktøyet, HDS-startprogrammet og lokal KMS må alle bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN når de ber om tilgang med Kerberos-autentisering.

                                                                                                                                                  Krav til ekstern tilkobling

                                                                                                                                                  Konfigurer brannmuren til å tillate følgende tilkoblingsmuligheter for HDS-programmene:

                                                                                                                                                  Applikasjon

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Veibeskrivelse fra app

                                                                                                                                                  Destinasjon

                                                                                                                                                  Hybride datasikkerhetsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS og WSS

                                                                                                                                                  • Webex-servere:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle Common Identity-verter

                                                                                                                                                  • Andre nettadresser som er oppført for Hybrid Data Security i Ytterligere URL-adresser for Webex Hybrid Services tabell over Nettverkskrav for Webex-tjenester

                                                                                                                                                  HDS-oppsettverktøy

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-verter

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid Data Security-nodene fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmur tillater de nødvendige utgående tilkoblingene til domenemålene i den foregående tabellen. For tilkoblinger som går inn til Hybrid Data Security-nodene, skal ingen porter være synlige fra Internett. I datasenter ditt trenger klienter tilgang til hybriddatasikkerhetsnodene på TCP-portene 443 og 22 til administrative formål.

                                                                                                                                                  URL-adressene for CI-vertene (Common Identity) er regionsspesifikke. Dette er de nåværende CI-vertene:

                                                                                                                                                  Region

                                                                                                                                                  Felles URL-adresser for vertsidentitet

                                                                                                                                                  Nord- og Sør-Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Den europeiske union

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Krav til proxy-server

                                                                                                                                                  • Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene dine for hybriddatasikkerhet.

                                                                                                                                                    • Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplisitt proxy – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av WebSocket (wss:) tilkoblinger. Hvis du vil omgå dette problemet, kan du se Konfigurer Squid-proxyer for hybrid datasikkerhet .

                                                                                                                                                  • Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:

                                                                                                                                                    • Ingen godkjenning med HTTP eller HTTPS

                                                                                                                                                    • Enkel godkjenning med HTTP eller HTTPS

                                                                                                                                                    • Sammendragsgodkjenning kun med HTTPS

                                                                                                                                                  • Hvis du vil ha en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne håndboken beskriver hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnoder.

                                                                                                                                                  • Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.

                                                                                                                                                  • Proxyer som inspiserer nettrafikk, kan forstyrre WebSocket-tilkoblinger. Hvis dette problemet oppstår, kan du omgå (ikke inspisere) trafikk til wbx2.com og ciscospark.com vil løse problemet.

                                                                                                                                                  Fullfør forutsetningene for hybrid datasikkerhet

                                                                                                                                                  Bruk denne sjekklisten for å sikre at du er klar til å installere og konfigurere Hybrid Data Security-klyngen.
                                                                                                                                                  1

                                                                                                                                                  Kontroller at Webex-organisasjonen din er aktivert for Pro Pack for Cisco Webex Control Hub, og få legitimasjonen til en konto med fulle administrator . Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen.

                                                                                                                                                  2

                                                                                                                                                  Velg et domenenavn for HDS-distribusjonen (for eksempel hds.company.com) og få en sertifikatkjede som inneholder et X.509-sertifikat, privat nøkkel og eventuelle mellomsertifikater. sertifikatkjede må oppfylle kravene i Krav til X.509-sertifikater .

                                                                                                                                                  3

                                                                                                                                                  Klargjør identiske virtuelle verter som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen. Du trenger minst to separate verter (tre anbefales) plassert i det samme sikre datasenter, som oppfyller kravene i Krav til virtuell vert .

                                                                                                                                                  4

                                                                                                                                                  Klargjør databaseserver som skal fungere som datalager for klyngen, i henhold til Krav til databaseserver . databaseserver må være lokalisert i det sikre datasenter med de virtuelle vertene.

                                                                                                                                                  1. Opprett en database for nøkkellagring. (Du må opprette denne databasen – ikke bruk standarddatabasen. HDS-applikasjonene oppretter databaseskjemaet når de er installert.)

                                                                                                                                                  2. Samle inn detaljene som nodene skal bruke til å kommunisere med databaseserver:

                                                                                                                                                    • vertsnavn eller IP-adresse (vert) og port

                                                                                                                                                    • navnet på databasen (dbname) for nøkkellagring

                                                                                                                                                    • brukernavnet og passordet til en bruker med alle rettigheter i nøkkellagringsdatabasen

                                                                                                                                                  5

                                                                                                                                                  Hvis du vil ha rask gjenoppretting ved katastrofegjenoppretting, konfigurerer du et sikkerhetskopimiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet for virtuelle datamaskiner og en databaseserver. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner.

                                                                                                                                                  6

                                                                                                                                                  Konfigurer en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadresse og syslog-porten (standard er UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Opprett en sikker sikkerhetskopieringspolicy for Hybrid Data Security-nodene, databaseserver og syslog-verten. For å forhindre tap av ugjenopprettelig data må du som et minimum sikkerhetskopiere databasen og ISO-konfigurasjonsfilen som er generert for Hybrid Data Security-nodene.


                                                                                                                                                   

                                                                                                                                                  Siden Hybrid Data Security-nodene lagrer nøklene som brukes i kryptering og dekryptering av innhold, vil manglende vedlikehold av en operativ distribusjon føre til at TAP som ikke kan gjenvinnes av det innholdet.

                                                                                                                                                  Webex App-klienter hurtigbufrer nøklene sine, så et driftsbrudd vil kanskje ikke merkes umiddelbart, men vil bli tydelig over tid. Selv om midlertidige strømbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopier tilgjengelig) av enten databasen eller ISO-konfigurasjonsfilen vil imidlertid føre til kundedata som ikke kan gjenopprettes. Operatørene av Hybrid Data Security-nodene forventes å opprettholde hyppige sikkerhetskopier av databasen og ISO-konfigurasjonsfilen, og være forberedt på å gjenoppbygge Hybrid Data Security datasenter hvis det oppstår en katastrofal feil.

                                                                                                                                                  8

                                                                                                                                                  Kontroller at brannmurkonfigurasjonen tillater tilkobling for Hybrid Data Security-nodene som angitt i Krav til ekstern tilkobling .

                                                                                                                                                  9

                                                                                                                                                  Installer Docker (https://www.docker.com ) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til den på http://127.0.0.1:8080.

                                                                                                                                                  Du bruker Docker-forekomsten til å laste ned og kjøre installasjonsverktøyet for HDS, som bygger den lokale konfigurasjonsinformasjon for alle Hybrid Data Security-nodene. Organisasjonen din kan trenge en Docker Desktop-lisens. Se Krav til Docker-skrivebord hvis du vil ha mer informasjon.

                                                                                                                                                  Hvis du vil installere og kjøre HDS-installasjonsverktøyet, må den lokale maskinen ha tilkoblingsmulighetene som er angitt i Krav til ekstern tilkobling .

                                                                                                                                                  10

                                                                                                                                                  Hvis du integrerer en proxy med Hybrid Data Security, må du kontrollere at den oppfyller Krav til proxy-server .

                                                                                                                                                  11

                                                                                                                                                  Hvis organisasjonen din bruker katalogsynkronisering, oppretter du en gruppe i Active Directory som heter HdsTrialGroup, og legg til pilotbrukere. Prøvegruppen kan ha opptil 250 brukere. Filen HdsTrialGroup objektet må synkroniseres til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil synkronisere et gruppeobjekt, velger du det i katalogkoblingen Konfigurasjon > Objektvalg -menyen. (For detaljerte instruksjoner se Distribusjonsveiledning for Cisco Directory Connector. )


                                                                                                                                                   

                                                                                                                                                  Taster for et gitt område angis av oppretteren av området. Når du velger pilotbrukere, må du huske på at hvis du bestemmer deg for å deaktivere Hybrid Data Security-distribusjonen permanent, mister alle brukere tilgangen til innhold i områdene som ble opprettet av pilotbrukerne. Tapet blir tydelig så snart brukernes apper oppdaterer de bufrede kopiene av innholdet.

                                                                                                                                                  Konfigurer en hybrid datasikkerhetsklynge

                                                                                                                                                  Oppgaveflyt for distribusjon av hybrid datasikkerhet

                                                                                                                                                  Før du starter

                                                                                                                                                  Forbered miljøet ditt

                                                                                                                                                  1

                                                                                                                                                  Last ned installasjonsfiler

                                                                                                                                                  Last ned OVA-filen til din lokale maskin for senere bruk.

                                                                                                                                                  2

                                                                                                                                                  Opprett en konfigurasjons-ISO for HDS-vertene

                                                                                                                                                  Bruk HDS-oppsettverktøyet til å opprette en ISO konfigurasjonsfil for hybriddatasikkerhetsnodene.

                                                                                                                                                  3

                                                                                                                                                  Installer HDS Host OVA

                                                                                                                                                  Opprett en virtuell maskin fra OVA-filen og utfør den første konfigurasjonen, for eksempel nettverksinnstillinger.


                                                                                                                                                   

                                                                                                                                                  Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon har blitt testet med ESXi 6.5. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer den virtuelle hybriddatasikkerhetsmaskinen

                                                                                                                                                  Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.

                                                                                                                                                  5

                                                                                                                                                  Last opp og monter HDS-konfigurasjons-ISO

                                                                                                                                                  Konfigurer den virtuelle maskinen fra ISO konfigurasjonsfil du opprettet med HDS-installasjonsverktøyet.

                                                                                                                                                  6

                                                                                                                                                  Konfigurere HDS-noden for proxy-integrasjon

                                                                                                                                                  Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du proxy-typen du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig.

                                                                                                                                                  7

                                                                                                                                                  Registrer den første noden i klyngen

                                                                                                                                                  Registrer den virtuelle maskinen med Cisco Webex skyen som en hybrid datasikkerhetsnode.

                                                                                                                                                  8

                                                                                                                                                  Opprett og registrer flere noder

                                                                                                                                                  Fullfør klyngeoppsettet.

                                                                                                                                                  9

                                                                                                                                                  Kjør en prøveversjon og gå til produksjon (neste kapittel)

                                                                                                                                                  Frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.

                                                                                                                                                  Last ned installasjonsfiler

                                                                                                                                                  I denne oppgaven laster du ned en OVA-fil til maskinen din (ikke til serverne du konfigurerer som hybriddatasikkerhetsnoder). Du bruker denne filen senere i installasjonsprosessen.
                                                                                                                                                  1

                                                                                                                                                  Logg påhttps://admin.webex.com , og klikk deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Finn Hybrid Data Security-kortet under Hybridtjenester, og klikk deretter på Konfigurer .

                                                                                                                                                  Hvis kortet er deaktivert eller du ikke ser det, kontakter du kontoteamet ditt eller partnerorganisasjonen din. Gi dem kontonummeret ditt, og be om å aktivere organisasjonen din for Hybrid Data Security. Hvis du vil finne kontonummeret, klikker du på tannhjulet øverst til høyre, ved siden av organisasjonsnavnet.


                                                                                                                                                   

                                                                                                                                                  Du kan også laste ned OVA når som helst fra Hjelp delen om Innstillinger side. På Hybrid Data Security-kortet klikker du på Rediger innstillinger for å åpne siden. Deretter klikker du Last ned programvare for hybrid datasikkerhet i Hjelp delen.


                                                                                                                                                   

                                                                                                                                                  Eldre versjoner av programvarepakken (OVA) vil ikke være kompatible med de nyeste oppgraderingene av Hybrid Data Security. Dette kan føre til problemer under oppgradering av applikasjonen. Pass på at du laster ned den nyeste versjonen av OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Velg Nei for å indikere at du ikke har satt opp noden ennå, og klikk deretter på Neste .

                                                                                                                                                  Nedlastingen av OVA-filen begynner automatisk. Lagre filen et sted på maskinen.
                                                                                                                                                  4

                                                                                                                                                  Du kan også klikke på Åpne Distribusjonsveiledning for å sjekke om det finnes en nyere versjon av denne veiledningen.

                                                                                                                                                  Opprett en konfigurasjons-ISO for HDS-vertene

                                                                                                                                                  Konfigurasjonsprosessen for Hybrid Data Security oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere Hybrid Data Security-verten.

                                                                                                                                                  Før du starter

                                                                                                                                                  • Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.

                                                                                                                                                    Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariabler når du henter frem Docker-beholderen i trinn 5 . Denne tabellen viser noen mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uten autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uten autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen når du gjør konfigurasjonsendringer, for eksempel disse:

                                                                                                                                                    • Databaselegitimasjon

                                                                                                                                                    • Sertifikatoppdateringer

                                                                                                                                                    • Endringer i retningslinjene for autorisasjon

                                                                                                                                                  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du PostgreSQL- eller SQL Server-distribusjonen for TLS.

                                                                                                                                                  1

                                                                                                                                                  På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt:

                                                                                                                                                  I vanlige miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dette trinnet rydder opp i tidligere bilder av HDS-oppsettverktøyet. Hvis det ikke finnes noen tidligere bilder, returnerer den en feil som du kan ignorere.

                                                                                                                                                  2

                                                                                                                                                  Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Når du blir bedt om passord, skriver du inn denne hashen:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Last ned det nyeste stabile bildet for miljøet ditt:

                                                                                                                                                  I vanlige miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:

                                                                                                                                                  • I vanlige miljøer uten proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanlige miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanlige miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljøer uten en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080».

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Installasjonsverktøyet støtter ikke tilkobling til lokal vert gjennom http://localvert:8080 . Brukhttp://127.0.0.1:8080 for å koble til lokal vert.

                                                                                                                                                  Bruk en nettleser til å gå til den lokale verten, http://127.0.0.1:8080, og angi brukernavn for kundeadministrator for Control Hub ved ledeteksten.

                                                                                                                                                  Verktøyet bruker denne første oppføringen i brukernavnet til å angi riktig miljø for den kontoen. Verktøyet viser deretter standard påloggingsmelding.

                                                                                                                                                  7

                                                                                                                                                  Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Control Hub-kundeadministratoren, og klikker deretter på Logg inn for å gi tilgang til de nødvendige tjenestene for Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  På oversiktssiden for installasjonsverktøy klikker du på Kom i gang .

                                                                                                                                                  9

                                                                                                                                                  ISO-import side, har du disse alternativene:

                                                                                                                                                  • Nei –Hvis du oppretter din første HDS-node, har du ingen ISO-fil å laste opp.
                                                                                                                                                  • Ja –Hvis du allerede har opprettet HDS-noder, velger du ISO-filen i nettleseren og laster den opp.
                                                                                                                                                  10

                                                                                                                                                  Kontroller at X.509-sertifikatet oppfyller kravene i Krav til X.509-sertifikater .

                                                                                                                                                  • Hvis du aldri har lastet opp et sertifikat før, laster du opp X.509-sertifikatet, skriver inn passordet og klikker Fortsett .
                                                                                                                                                  • Hvis sertifikatet er OK, klikker du på Fortsett .
                                                                                                                                                  • Hvis sertifikatet er utløpt eller du vil erstatte det, velger du Nei for Fortsette å bruke HDS sertifikatkjede og privat nøkkel fra tidligere ISO? . Last opp et nytt X.509-sertifikat, angi passordet og klikk Fortsett .
                                                                                                                                                  11

                                                                                                                                                  Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret:

                                                                                                                                                  1. Velg din Databasetype ( PostgreSQL eller Microsoft SQL Server ).

                                                                                                                                                    Hvis du velger Microsoft SQL Server , får du et autentiseringstype -felt.

                                                                                                                                                  2. ( Microsoft SQL Server bare) Velg din autentiseringstype :

                                                                                                                                                    • Grunnleggende autentisering : Du trenger et lokalt SQL Server- kontonavn i Brukernavn felt.

                                                                                                                                                    • Windows-autentisering : Du trenger en Windows-konto i formatet username@DOMAIN i Brukernavn felt.

                                                                                                                                                  3. Angi databaseserver i skjemaet <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Eksempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan bruke en IP-adresse til grunnleggende autentisering hvis nodene ikke kan bruke DNS til å løse vertsnavnet.

                                                                                                                                                    Hvis du bruker Windows-godkjenning, må du angi et fullstendig kvalifisert domenenavn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Skriv inn Databasenavn .

                                                                                                                                                  5. Skriv inn Brukernavn og Passord til en bruker med alle rettigheter i nøkkellagringsdatabasen.

                                                                                                                                                  12

                                                                                                                                                  Velg en Tilkoblingsmodus for TLS-database :

                                                                                                                                                  Modus

                                                                                                                                                  Beskrivelse

                                                                                                                                                  Foretrekker TLS (standardvalg)

                                                                                                                                                  HDS-noder krever ikke TLS for å koble til databaseserver. Hvis du aktiverer TLS på databaseserver, forsøker nodene en kryptert tilkobling.

                                                                                                                                                  Krev TLS

                                                                                                                                                  HDS-noder kobles bare til hvis databaseserver kan forhandle TLS.

                                                                                                                                                  Krev TLS og bekreft sertifikatunderskriver


                                                                                                                                                   

                                                                                                                                                  Denne modusen er ikke aktuelt for SQL Server-databaser.

                                                                                                                                                  • HDS-noder kobles bare til hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Etter at du har opprettet en TLS-tilkobling, sammenligner noden underskriveren av sertifikatet fra databaseserver med sertifiseringsinstansen i rotsertifikat for database . Hvis de ikke samsvarer, avbryter noden tilkoblingen.

                                                                                                                                                  Bruk rotsertifikat for database kontrollen under rullegardinlisten for å laste opp rotsertifikat for dette alternativet.

                                                                                                                                                  Krev TLS og bekreft sertifikatunderskriver og vertsnavn

                                                                                                                                                  • HDS-noder kobles bare til hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Etter at du har opprettet en TLS-tilkobling, sammenligner noden underskriveren av sertifikatet fra databaseserver med sertifiseringsinstansen i rotsertifikat for database . Hvis de ikke samsvarer, avbryter noden tilkoblingen.

                                                                                                                                                  • Nodene bekrefter også at vertsnavnet i serversertifikat samsvarer med vertsnavnet i Databasevert og port felt. Navnene må samsvare nøyaktig, ellers avbryter noden tilkoblingen.

                                                                                                                                                  Bruk rotsertifikat for database kontrollen under rullegardinlisten for å laste opp rotsertifikat for dette alternativet.

                                                                                                                                                  Når du laster opp rotsertifikat (om nødvendig), og klikker Fortsett tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserver. Verktøyet bekrefter også sertifikatunderskriveren og vertsnavnet, hvis det er aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan det hende at HDS-nodene kan opprette TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurer Syslogd-serveren på siden Systemlogger:

                                                                                                                                                  1. Angi nettadressen til syslog-serveren.

                                                                                                                                                    Hvis serveren ikke kan DNS-løses fra nodene for HDS-klyngen, bruker du en IP-adresse i URL-adressen.

                                                                                                                                                    Eksempel:
                                                                                                                                                    udp://10.92.43.23:514 angir logging til Syslogd-vert 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Hvis du konfigurerer serveren til å bruke TLS-kryptering, kontrollerer du Er syslog-serveren din konfigurert for SSL-kryptering? .

                                                                                                                                                    Hvis du merker av for denne avmerkingsboks, må du kontrollere at du skriver inn en TCP-URL som for eksempel tcp://10.92.43.23:514.

                                                                                                                                                  3. Fra Velg avslutning av syslog-oppføring velger du riktig innstilling for ISO-filen: Velg eller Ny linje brukes for Graylog og Rsyslog TCP

                                                                                                                                                    • Nullbyte – \x00

                                                                                                                                                    • Ny linje – \n – Velg dette valget for Graylog og Rsyslog TCP.

                                                                                                                                                  4. Klikk på Fortsett.

                                                                                                                                                  14

                                                                                                                                                  (Valgfritt) Du kan endre standardverdi for noen databasetilkoblingsparametere i Avanserte innstillinger . Vanligvis er denne parameteren den eneste du kanskje vil endre:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klikk på Fortsett Tilbakestill passordet for tjenestekontoer skjermen.

                                                                                                                                                  Passord for tjenestekontoer har en levetid på ni måneder. Bruk denne skjermen når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem for å ugyldiggjøre tidligere ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klikk på Last ned ISO-fil . Lagre filen på et sted som er lett å finne.

                                                                                                                                                  17

                                                                                                                                                  Ta en sikkerhetskopi av ISO-filen på det lokale systemet.

                                                                                                                                                  Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer.

                                                                                                                                                  18

                                                                                                                                                  Hvis du vil avslutte konfigureringsverktøyet, skriver du inn CTRL+C.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                   

                                                                                                                                                  Vi har aldri en kopi av denne nøkkelen, og kan ikke hjelpe hvis du mister den.

                                                                                                                                                  Installer HDS Host OVA

                                                                                                                                                  Bruk denne fremgangsmåten til å opprette en virtuell maskin fra OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten.

                                                                                                                                                  2

                                                                                                                                                  Velg Fil > Distribuer OVF-mal .

                                                                                                                                                  3

                                                                                                                                                  Angi plasseringen av OVA-filen du lastet ned tidligere i veiviseren, og klikk deretter på Neste .

                                                                                                                                                  4

                                                                                                                                                  Velg et navn og en mappe side, skriver du inn en Navn på virtuell maskin for noden (for eksempel «HDS_ Node_ 1"), velg et sted der nodedistribusjonen for den virtuell maskin kan ligge, og klikk deretter Neste .

                                                                                                                                                  5

                                                                                                                                                  Velg en databehandlingsressurs -siden, velg måldataressursen, og klikk deretter Neste .

                                                                                                                                                  Det kjøres en valideringskontroll. Når den er fullført, vises maldetaljene.

                                                                                                                                                  6

                                                                                                                                                  Kontroller maldetaljene, og klikk deretter på Neste .

                                                                                                                                                  7

                                                                                                                                                  Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon side, klikk 4 CPUer og klikk deretter Neste .

                                                                                                                                                  8

                                                                                                                                                  Velg lagring side, klikk Neste for å godta standard diskformat og retningslinjer for VM-lagring.

                                                                                                                                                  9

                                                                                                                                                  Velg nettverk -siden, velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til den virtuelle maskinen.

                                                                                                                                                  10

                                                                                                                                                  Tilpass mal side, konfigurerer du følgende nettverksinnstillinger:

                                                                                                                                                  • Vertsnavn – Angi FQDN (vertsnavn og domene) eller vertsnavn med ett ord for noden.

                                                                                                                                                     
                                                                                                                                                    • Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet.

                                                                                                                                                    • Hvis du vil sikre en vellykket registrering til skyen, bruker du bare små tegn i FQDN eller vertsnavnet du angir for noden. Store og små bokstaver støttes ikke for øyeblikket.

                                                                                                                                                    • Den totale lengden på FQDN kan ikke overstige 64 tegn.

                                                                                                                                                  • IP-adresse — Angi IP-adresse for det interne grensesnittet til noden.

                                                                                                                                                     

                                                                                                                                                    Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke.

                                                                                                                                                  • Maske – Angi nettverksmaske med punktum og desimal. For eksempel 255.255.255.0 .
                                                                                                                                                  • Gateway – Angi IP-adresse for gatewayen . En gateway er en nettverksnode som fungerer som et tilgangspunkt til et annet nettverk.
                                                                                                                                                  • DNS-servere – Angi en kommadelt liste over DNS-servere som håndterer oversettelse av domenenavn til numeriske IP-adresser. (Opptil fire DNS-oppføringer er tillatt.)
                                                                                                                                                  • NTP-servere – Angi organisasjonens NTP-server eller en annen ekstern NTP-server som kan brukes i organisasjonen. Standard NTP-servere fungerer kanskje ikke for alle bedrifter. Du kan også bruke en kommadelt liste til å angi flere NTP-servere.
                                                                                                                                                  • Distribuer alle nodene på samme delnett eller VLAN, slik at alle nodene i en klynge er tilgjengelige fra klienter i nettverket for administrative formål.

                                                                                                                                                  Hvis du foretrekker det, kan du hoppe over konfigurasjonen av nettverksinnstillinger og følge trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen for å konfigurere innstillingene fra nodekonsollen.


                                                                                                                                                   

                                                                                                                                                  Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon har blitt testet med ESXi 6.5. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

                                                                                                                                                  11

                                                                                                                                                  Høyreklikk på den virtuelle noden, og velg deretter Strøm > Strøm på .

                                                                                                                                                  Hybrid Data Security-programvaren installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden.

                                                                                                                                                  Feilsøkingstips

                                                                                                                                                  Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen ved første oppstart, der du ikke kan logge på.

                                                                                                                                                  Konfigurer den virtuelle hybriddatasikkerhetsmaskinen

                                                                                                                                                  Bruk denne fremgangsmåten til å logge på VM-konsollen for Hybrid Data Security-noden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.

                                                                                                                                                  1

                                                                                                                                                  I VMware vSphere-klienten velger du den virtuelle hybriddatasikkerhetsnoden og velger Konsoll -fanen.

                                                                                                                                                  Den virtuelle maskinen starter opp, og det vises en påloggingsmelding. Hvis påloggingsmeldingen ikke vises, trykker du på Gå inn .
                                                                                                                                                  2

                                                                                                                                                  Bruk følgende standard påloggingsinformasjon og passord for å logge på og endre legitimasjonen:

                                                                                                                                                  1. Innlogging: admin

                                                                                                                                                  2. Passord: cisco

                                                                                                                                                  Siden du logger på den virtuelle maskinen for første gang, må du endre administrator .

                                                                                                                                                  3

                                                                                                                                                  Hvis du allerede har konfigurert nettverksinnstillinger i Installer HDS Host OVA , hopper du over resten av denne prosedyren. Ellers velger du på hovedmeny Rediger konfigurasjon alternativet.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke.

                                                                                                                                                  5

                                                                                                                                                  (Valgfritt) Endre vertsnavnet, domenet eller NTP-server(e) om nødvendig for å samsvare med nettverkspolicyen din.

                                                                                                                                                  Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet.

                                                                                                                                                  6

                                                                                                                                                  Lagre nettverkskonfigurasjon og start den virtuelle maskinen på nytt slik at endringene trer i kraft.

                                                                                                                                                  Last opp og monter HDS-konfigurasjons-ISO

                                                                                                                                                  Bruk denne fremgangsmåten til å konfigurere den virtuell maskin fra ISO-filen du opprettet med HDS-installasjonsverktøyet.

                                                                                                                                                  Før du starter

                                                                                                                                                  Siden ISO-filen inneholder hovednøkkelen, bør den bare vises på en «trenger å vite»-basis, for tilgang for de virtuelle hybriddatasikkerhets-ene og alle administratorer som måtte trenge å gjøre endringer. Kontroller at bare disse administratorene har tilgang til datalageret.

                                                                                                                                                  1

                                                                                                                                                  Last opp ISO-filen fra datamaskinen:

                                                                                                                                                  1. I venstre navigasjonspanel i VMware vSphere-klienten klikker du på ESXi-serveren.

                                                                                                                                                  2. I maskinvarelisten i kategorien Konfigurasjon klikker du på Oppbevaring .

                                                                                                                                                  3. I Datalager-listen høyreklikk du på datalageret for de virtuelle maskinene og klikker Bla gjennom datalager .

                                                                                                                                                  4. Klikk på Last opp filer-ikonet, og klikk deretter på Last opp fil .

                                                                                                                                                  5. Bla til stedet der du lastet ned ISO-filen på datamaskinen, og klikk på Åpne .

                                                                                                                                                  6. Klikk på Ja for å godta advarselen om opplasting/nedlasting, og lukke dialogboksen for datalager.

                                                                                                                                                  2

                                                                                                                                                  Monter ISO-filen:

                                                                                                                                                  1. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

                                                                                                                                                  2. Klikk på OK for å godta advarselen om begrensede redigeringsalternativer.

                                                                                                                                                  3. Klikk CD/DVD Drive 1, velger du alternativet for å montere fra en ISO-fil for datalager, og går til stedet der du lastet opp ISO-konfigurasjonsfilen.

                                                                                                                                                  4. Sjekk Tilkoblet og Koble til når strømmen er på .

                                                                                                                                                  5. Lagre endringene og start den virtuell maskin på nytt.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Hvis IT-retningslinjene krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene dine har registrert konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.

                                                                                                                                                  Konfigurere HDS-noden for proxy-integrasjon

                                                                                                                                                  Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybriddatasikkerhet. Hvis du velger en gjennomsiktig inspeksjonsproxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet og feilsøke eventuelle problemer.

                                                                                                                                                  Før du starter

                                                                                                                                                  1

                                                                                                                                                  Angi URL-adressen til oppsett av HDS-node https://[HDS Node IP or FQDN]/setup i en nettleser skriver du inn administratorlegitimasjonen du konfigurerte for noden, og klikker deretter Logg på .

                                                                                                                                                  2

                                                                                                                                                  Gå til Klareringslager og proxy, og velg deretter et alternativ:

                                                                                                                                                  • Ingen proxy – Standardalternativet før du integrerer en proxy. Ingen sertifikatoppdatering er nødvendig.
                                                                                                                                                  • Gjennomsiktig ikke-inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse, og bør ikke trenge endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
                                                                                                                                                  • Gjennomsiktig inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTPS-konfigurasjon er nødvendig for distribusjonen av hybriddatasikkerhet, men HDS-nodene trenger et rotsertifikat slik at de klarerer proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer om hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
                                                                                                                                                  • Eksplisitt proxy – Med eksplisitt proxy forteller du klienten (HDS-noder) hvilken proxy-server som skal brukes, og dette alternativet støtter flere godkjenningstyper. Når du har valgt dette alternativet, må du angi følgende informasjon:
                                                                                                                                                    1. Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

                                                                                                                                                    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

                                                                                                                                                    3. Proxy-protokoll – Velg http (viser og kontrollerer alle forespørsler som mottas fra klienten) eller https (gir en kanal til serveren, og klienten mottar og validerer serverens sertifikat). Velg et alternativ basert på hva proxy-serveren støtter.

                                                                                                                                                    4. Godkjenningstype – Velg blant følgende godkjenningstyper:

                                                                                                                                                      • Ingen – Ingen ytterligere godkjenning er nødvendig.

                                                                                                                                                        Tilgjengelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                      • Grunnleggende – Brukes for en HTTP-brukeragent til å angi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

                                                                                                                                                        Tilgjengelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                        Hvis du velger dette alternativet, må du også skrive inn brukernavn og passord.

                                                                                                                                                      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

                                                                                                                                                        Bare tilgjengelig for HTTPS-proxyer.

                                                                                                                                                        Hvis du velger dette alternativet, må du også skrive inn brukernavn og passord.

                                                                                                                                                  Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en HTTP-eksplisitt proxy med enkel godkjenning eller en eksplisitt HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen.

                                                                                                                                                  Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på vinkeltegnpilen ved navnet på sertifikatutstederen for å få flere detaljer, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt.

                                                                                                                                                  4

                                                                                                                                                  Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen.

                                                                                                                                                  Hvis tilkoblingstesten mislykkes, ser du en feilmelding som viser årsaken og hvordan du kan løse problemet.

                                                                                                                                                  Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne betingelsen forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene, og deretter ser du Slå av blokkert ekstern DNS-oppløsningsmodus .

                                                                                                                                                  5

                                                                                                                                                  Etter at tilkoblingstesten blir bestått, kun for eksplisitt proxy satt til https, setter du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen trer i kraft etter 15 sekunder.

                                                                                                                                                  6

                                                                                                                                                  Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en HTTP-eksplisitt proxy), les ledeteksten, og klikk deretter på Installer hvis du er klar.

                                                                                                                                                  Noden starter på nytt i løpet av noen få minutter.

                                                                                                                                                  7

                                                                                                                                                  Når noden har startet på nytt, logger du på igjen om nødvendig, og deretter åpner du Oversikt-siden for å kontrollere tilkoblingskontrollene for å sikre at alle har grønn status.

                                                                                                                                                  Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det oppstår tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen.

                                                                                                                                                  Registrer den første noden i klyngen

                                                                                                                                                  Denne oppgaven tar den generelle noden du opprettet i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen , registrerer noden med Webex-skyen og gjør den om til en hybrid datasikkerhetsnode.

                                                                                                                                                  Når du registrerer den første noden, oppretter du en klynge som noden er tilordnet. En klynge inneholder én eller flere noder distribuert for å gi redundans.

                                                                                                                                                  Før du starter

                                                                                                                                                  • Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.

                                                                                                                                                  • Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Logg på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Fra menyen på venstre side av skjermen velger du Tjenester .

                                                                                                                                                  3

                                                                                                                                                  I delen Hybridtjenester finner du Hybrid Data Security og klikker på Konfigurer .

                                                                                                                                                  Siden Registrer hybrid node for datasikkerhet vises.
                                                                                                                                                  4

                                                                                                                                                  Velg Ja for å indikere at du har satt opp noden og er klar til å registrere den, og klikk deretter på Neste .

                                                                                                                                                  5

                                                                                                                                                  I det første feltet skriver du inn et navn på klyngen du vil tilordne Hybrid Data Security-noden til.

                                                                                                                                                  Vi anbefaler at du gir navn til en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: «San Francisco» eller «New York» eller «Dallas»

                                                                                                                                                  6

                                                                                                                                                  I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste .

                                                                                                                                                  Denne IP-adresse eller FQDN må samsvare med IP-adresse eller vertsnavnet og domenet du brukte i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen .

                                                                                                                                                  Det vises en melding som angir at du kan registrere noden til Webex.
                                                                                                                                                  7

                                                                                                                                                  Klikk på Gå til Node .

                                                                                                                                                  8

                                                                                                                                                  Klikk på Fortsett i advarselsmelding.

                                                                                                                                                  Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til Webex-organisasjonen din for å få tilgang til noden.
                                                                                                                                                  9

                                                                                                                                                  Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett .

                                                                                                                                                  Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
                                                                                                                                                  10

                                                                                                                                                  Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden.

                                                                                                                                                  Hybrid datasikkerhet side, vises den nye klyngen som inneholder noden du registrerte. Noden vil automatisk laste ned den nyeste programvaren fra skyen.

                                                                                                                                                  Opprett og registrer flere noder

                                                                                                                                                  Hvis du vil legge til flere noder i klyngen, oppretter du ganske enkelt flere virtuelle datamaskiner og monterer den samme ISO-konfigurasjonsfilen, og deretter registrerer du noden. Vi anbefaler at du har minst 3 noder.

                                                                                                                                                   

                                                                                                                                                  På dette tidspunktet er de virtuelle sikkerhetskopiene-ene du opprettet i Fullfør forutsetningene for hybrid datasikkerhet er standby-verter som bare brukes i tilfelle katastrofegjenoppretting; de er ikke registrert i systemet før da. Hvis du vil ha mer informasjon, se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus .

                                                                                                                                                  Før du starter

                                                                                                                                                  • Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.

                                                                                                                                                  • Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA .

                                                                                                                                                  2

                                                                                                                                                  Konfigurer den første konfigurasjonen på den nye virtuelle maskinen, og gjenta trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen .

                                                                                                                                                  3

                                                                                                                                                  Gjenta trinnene i den nye VM-en Last opp og monter HDS-konfigurasjons-ISO .

                                                                                                                                                  4

                                                                                                                                                  Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrering etter behov for den nye noden.

                                                                                                                                                  5

                                                                                                                                                  Registrer noden.

                                                                                                                                                  1. Ihttps://admin.webex.com , velger du Tjenester fra menyen på venstre side av skjermen.

                                                                                                                                                  2. I delen Hybridtjenester finner du Hybrid Data Security-kortet og klikker på Ressurser .

                                                                                                                                                    Siden for hybriddatasikkerhetsressurser vises.
                                                                                                                                                  3. Klikk på Legg til ressurs .

                                                                                                                                                  4. I det første feltet velger du navnet på den eksisterende klyngen.

                                                                                                                                                  5. I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste .

                                                                                                                                                    Det vises en melding som angir at du kan registrere noden i Webex-skyen.
                                                                                                                                                  6. Klikk på Gå til Node .

                                                                                                                                                    Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til organisasjonen din for å få tilgang til noden.
                                                                                                                                                  7. Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett .

                                                                                                                                                    Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
                                                                                                                                                  8. Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden.

                                                                                                                                                  Noden din er registrert. Merk at frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Kjør en prøveversjon og gå til produksjon (neste kapittel)
                                                                                                                                                  Kjør en prøveversjon og gå til produksjon

                                                                                                                                                  Oppgaveflyt fra prøveversjon til produksjon

                                                                                                                                                  Når du har konfigurert en Hybrid Data Security-klynge, kan du starte en pilot, legge til brukere i den og begynne å bruke den til testing og bekreftelse av distribusjonen som forberedelse til overgang til produksjon.

                                                                                                                                                  1

                                                                                                                                                  Hvis det er aktuelt, synkroniserer du HdsTrialGroup gruppeobjekt.

                                                                                                                                                  Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktiver prøveversjon

                                                                                                                                                  Start en prøveversjon. Frem til du gjør denne oppgaven, genererer nodene en alarm som indikerer at tjenesten ennå ikke er aktivert.

                                                                                                                                                  3

                                                                                                                                                  Test hybriddistribusjonen av datasikkerhet

                                                                                                                                                  Kontroller at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.

                                                                                                                                                  4

                                                                                                                                                  Overvåke helse for hybrid datasikkerhet

                                                                                                                                                  Sjekk status, og konfigurer e-postvarsler for alarmer.

                                                                                                                                                  5

                                                                                                                                                  Legg til eller fjern brukere fra prøveversjonen

                                                                                                                                                  6

                                                                                                                                                  Fullfør prøveperioden med én av følgende handlinger:

                                                                                                                                                  Aktiver prøveversjon

                                                                                                                                                  Før du starter

                                                                                                                                                  Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Logg påhttps://admin.webex.com , og velg deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security klikker du på Innstillinger .

                                                                                                                                                  3

                                                                                                                                                  I delen Tjenestestatus klikker du på Start prøveversjonen .

                                                                                                                                                  Tjenestestatusen endres til prøveversjonsmodus.
                                                                                                                                                  4

                                                                                                                                                  Klikk på Legg til brukere og angi e-postadresse til én eller flere brukere for å prøve å bruke Hybrid Data Security-nodene for kryptering og indekseringstjenester.

                                                                                                                                                  (Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory til å administrere prøvegruppen, HdsTrialGroup.)

                                                                                                                                                  Test hybriddistribusjonen av datasikkerhet

                                                                                                                                                  Bruk denne fremgangsmåten til å teste krypteringsscenarier med Hybrid Data Security.

                                                                                                                                                  Før du starter

                                                                                                                                                  • Konfigurer Hybrid Data Security-distribusjonen.

                                                                                                                                                  • Aktiver prøveversjonen, og legg til flere prøveversjonsbrukere.

                                                                                                                                                  • Kontroller at du har tilgang til syslog for å bekrefte at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.

                                                                                                                                                  1

                                                                                                                                                  Taster for et gitt område angis av oppretteren av området. Logg på Webex-appen som én av pilotbrukerne, og opprett deretter et område og inviter minst én pilotbruker og én ikke-pilotbruker.


                                                                                                                                                   

                                                                                                                                                  Hvis du deaktiverer Hybrid Data Security-distribusjonen, er ikke innhold i områder som pilotbrukere oppretter lenger tilgjengelig når de klientbufrede kopiene av krypteringsnøklene er erstattet.

                                                                                                                                                  2

                                                                                                                                                  Send meldinger til det nye området.

                                                                                                                                                  3

                                                                                                                                                  Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til Hybrid Data Security-distribusjonen.

                                                                                                                                                  1. Hvis du vil se etter en bruker som først oppretter en sikker kanal til KMS, filtrerer du på kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du bør finne en oppføring som følgende (identifikatorer forkortet for lesbarhet):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Hvis du vil se etter en bruker som ber om en eksisterende nøkkel fra KMS, filtrerer du på kms.data.method=retrieve og kms.data.type=KEY:

                                                                                                                                                    Du bør finne en oppføring som:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Hvis du vil se etter en bruker som ber om å opprette en ny KMS-nøkkel, filtrerer du på kms.data.method=create og kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bør finne en oppføring som:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Hvis du vil se etter en bruker som ber om opprettelse av et nytt KMS-ressursobjekt (KRO) når et område eller en annen beskyttet ressurs opprettes, filtrerer du på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bør finne en oppføring som:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Overvåke helse for hybrid datasikkerhet

                                                                                                                                                  En statusindikator i Control Hub viser deg om alt er bra med Hybrid Data Security-distribusjonen. Registrer deg for e-postvarsler for mer proaktiv varsling. Du blir varslet når det er tjenestepåvirkende alarmer eller programvareoppgraderinger.
                                                                                                                                                  1

                                                                                                                                                  I Kontrollhub , velger du Tjenester fra menyen på venstre side av skjermen.

                                                                                                                                                  2

                                                                                                                                                  I delen Hybridtjenester finner du Hybrid Data Security og klikker på Innstillinger .

                                                                                                                                                  Siden Innstillinger for hybrid datasikkerhet vises.
                                                                                                                                                  3

                                                                                                                                                  I delen E-postvarsler skriver du inn én eller flere e-postadresser atskilt med komma, og trykker på Gå inn .

                                                                                                                                                  Legg til eller fjern brukere fra prøveversjonen

                                                                                                                                                  Når du har aktivert en prøveversjon og lagt til det første settet med prøveversjonsbrukere, kan du legge til eller fjerne prøveversjonsmedlemmer når som helst mens prøveversjonen er aktiv.

                                                                                                                                                  Hvis du fjerner en bruker fra prøveversjonen, vil brukerens klient be om å opprette nøkler og nøkler fra KMS-skyen i stedet for KMS-en din. Hvis klienten trenger en nøkkel som er lagret på KMS-en, vil KMS-en i skyen hente den på brukerens vegne.

                                                                                                                                                  Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory (i stedet for denne prosedyren) til å administrere prøvegruppen, HdsTrialGroup; du kan vise gruppemedlemmene i Control Hub, men kan ikke legge til eller fjerne dem.

                                                                                                                                                  1

                                                                                                                                                  Logg på Control Hub, og velg deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security klikker du på Innstillinger .

                                                                                                                                                  3

                                                                                                                                                  I delen Prøvemodus i området Tjenestestatus klikker du på Legg til brukere , eller klikk vise og redigere for å fjerne brukere fra prøveversjonen.

                                                                                                                                                  4

                                                                                                                                                  Skriv inn e-postadresse til én eller flere brukere som skal legges til, eller klikk på X av en bruker-ID for å fjerne brukeren fra prøveversjonen. Klikk deretter på Lagre.

                                                                                                                                                  Gå fra prøveversjon til produksjon

                                                                                                                                                  Når du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, kan du gå over til produksjon. Når du går over til produksjon, vil alle brukere i organisasjonen bruke det lokale Hybrid Data Security-domenet for krypteringsnøkler og andre sikkerhetstjenester. Du kan ikke gå tilbake til prøvemodus fra produksjon med mindre du deaktiverer tjenesten som en del av katastrofegjenoppretting. Reaktivering av tjenesten krever at du konfigurerer en ny prøveversjon.
                                                                                                                                                  1

                                                                                                                                                  Logg på Control Hub, og velg deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security klikker du på Innstillinger .

                                                                                                                                                  3

                                                                                                                                                  I delen Tjenestestatus klikker du på Flytt til produksjon .

                                                                                                                                                  4

                                                                                                                                                  Bekreft at du vil flytte alle brukerne til produksjon.

                                                                                                                                                  Avslutt prøveversjonen uten å gå til produksjon

                                                                                                                                                  Hvis du i løpet av prøveperioden bestemmer deg for ikke å fortsette med distribusjonen av Hybrid Data Security, kan du deaktivere Hybrid Data Security, som avslutter prøveversjonen og flytter prøveversjonsbrukerne tilbake til skydatasikkerhetstjenestene. Prøveversjonsbrukerne mister tilgangen til dataene som ble kryptert under prøveversjonen.
                                                                                                                                                  1

                                                                                                                                                  Logg på Control Hub, og velg deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security klikker du på Innstillinger .

                                                                                                                                                  3

                                                                                                                                                  I Deaktiver-delen klikker du på Deaktiver .

                                                                                                                                                  4

                                                                                                                                                  Bekreft at du vil deaktivere tjenesten og avslutte prøveversjonen.

                                                                                                                                                  Administrer HDS-distribusjonen

                                                                                                                                                  Behandle HDS-distribusjon

                                                                                                                                                  Bruk oppgavene som er beskrevet her, til å administrere Hybrid Data Security-distribusjonen.

                                                                                                                                                  Angi tidsplan for klyngeoppgradering

                                                                                                                                                  Programvareoppgraderinger for Hybrid Data Security gjøres automatisk på klyngenivå, noe som sikrer at alle noder alltid kjører den samme programvareversjon. Oppgraderinger utføres i henhold til oppgraderingsplanen for klyngen. Når en programvareoppgradering blir tilgjengelig, har du muligheten til å oppgradere klyngen manuelt før planlagt oppgraderingstid. Du kan angi en bestemt oppgraderingsplan eller bruke standardplanen for 03:00 daglig USA: Amerika/Los Angeles. Du kan også velge å utsette en kommende oppgradering om nødvendig.

                                                                                                                                                  Slik angir du oppgraderingsplanen:

                                                                                                                                                  1

                                                                                                                                                  Logg på Kontrollhub .

                                                                                                                                                  2

                                                                                                                                                  På Oversikt-siden, under Hybridtjenester, velger du Hybrid datasikkerhet .

                                                                                                                                                  3

                                                                                                                                                  Velg klyngen på siden Hybriddatasikkerhetsressurser.

                                                                                                                                                  4

                                                                                                                                                  I Oversikt-panelet til høyre, under Klyngeinnstillinger, velger du klyngenavnet.

                                                                                                                                                  5

                                                                                                                                                  På Innstillinger-siden, under Oppgradering, velger du tid og tidssone for oppgraderingsplanen.

                                                                                                                                                  Merk: Under tidssone vises dato og klokkeslett for neste tilgjengelige oppgradering. Du kan om nødvendig utsette oppgraderingen til neste dag ved å klikke på Utsette .

                                                                                                                                                  Endre nodekonfigurasjonen

                                                                                                                                                  Noen ganger kan det hende at du må endre konfigurasjonen for Hybrid Data Security-noden av en årsak som:
                                                                                                                                                  • Endring av x.509-sertifikater på grunn av utløpsdato eller andre årsaker.


                                                                                                                                                     

                                                                                                                                                    Vi støtter ikke endring av CN- domenenavn for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.

                                                                                                                                                  • Oppdaterer databaseinnstillinger for å endre til en replika av PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt vei. Hvis du vil bytte databasemiljø, starter du en ny distribusjon av Hybrid Data Security.

                                                                                                                                                  • Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.

                                                                                                                                                  Av sikkerhetsmessige årsaker bruker Hybriddata-sikkerhet passord som har en levetid på ni måneder på tjenestekontoer. HDS-installasjonsverktøyet genererer disse passordene, og du distribuerer dem til hver av HDS-nodene dine som en del av ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløp, mottar du et «Varsel om utløp av passord» fra Webex-teamet, der du blir bedt om å tilbakestille passordet for maskinkontoen. (E-posten inneholder teksten «Bruk maskinkontoens API til å oppdatere passordet.») Hvis passordene ikke er utløpt ennå, gir verktøyet deg to alternativer:

                                                                                                                                                  • Myk tilbakestilling – Det gamle og det nye passordet fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.

                                                                                                                                                  • Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.

                                                                                                                                                  Hvis passordene dine utløper uten en tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.

                                                                                                                                                  Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.

                                                                                                                                                  Før du starter

                                                                                                                                                  • Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.

                                                                                                                                                    Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du henter opp Docker-beholderen i 1.e . Denne tabellen viser noen mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uten autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uten autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO-en inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO-en når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i autorisasjonspolicy.

                                                                                                                                                  1

                                                                                                                                                  Kjør HDS-konfigureringsverktøyet via Docker på en lokal maskin.

                                                                                                                                                  1. På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt:

                                                                                                                                                    I vanlige miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Dette trinnet rydder opp i tidligere bilder av HDS-oppsettverktøyet. Hvis det ikke finnes noen tidligere bilder, returnerer den en feil som du kan ignorere.

                                                                                                                                                  2. Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Når du blir bedt om passord, skriver du inn denne hashen:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Last ned det nyeste stabile bildet for miljøet ditt:

                                                                                                                                                    I vanlige miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Sørg for at du bruker det nyeste installasjonsverktøyet for denne prosedyren. Versjoner av verktøyet som er opprettet før 22. februar 2018, har ikke skjermbildene for tilbakestilling av passord.

                                                                                                                                                  5. Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:

                                                                                                                                                    • I vanlige miljøer uten proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanlige miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanlige miljøer med en HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljøer uten en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080».

                                                                                                                                                  6. Bruk en nettleser til å koble til localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Installasjonsverktøyet støtter ikke tilkobling til lokal vert gjennom http://localvert:8080 . Brukhttp://127.0.0.1:8080 for å koble til lokal vert.

                                                                                                                                                  7. Når du blir bedt om det, skriver du inn påloggingslegitimasjonen til kunden i Cisco Webex Control Hub, og klikker på Godta for å fortsette.

                                                                                                                                                  8. Importer ISO-filen for gjeldende konfigurasjon.

                                                                                                                                                  9. Følg instruksjonene for å fullføre verktøyet og laste ned den oppdaterte filen.

                                                                                                                                                    Hvis du vil avslutte konfigureringsverktøyet, skriver du inn CTRL+C.

                                                                                                                                                  10. Opprett en sikkerhetskopi av den oppdaterte ISO-filen i et annet datasenter.

                                                                                                                                                  2

                                                                                                                                                  Hvis du kun kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den via den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, se Opprett og registrer flere noder .

                                                                                                                                                  1. Installer HDS-verten OVA.

                                                                                                                                                  2. Konfigurer HDS VM.

                                                                                                                                                  3. Monter den oppdaterte konfigurasjonsfilen.

                                                                                                                                                  4. Registrer den nye noden i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  For eksisterende HDS-noder som kjører den eldre konfigurasjonsfil, monterer du ISO-filen. Utfør følgende prosedyre på hver node etter tur, og oppdater hver node før du slår av neste node:

                                                                                                                                                  1. Slå av den virtuelle maskinen.

                                                                                                                                                  2. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

                                                                                                                                                  3. Klikk CD/DVD Drive 1 Klikk på CD/DVD-stasjon 1, velg alternativet for montering fra en ISO-fil, og bla til plasseringen der du lastet ned den nye ISO-konfigurasjonsfilen.

                                                                                                                                                  4. Kontroller Koble til ved strøm på.

                                                                                                                                                  5. Lagre endringene og slå på den virtuelle maskinen.

                                                                                                                                                  4

                                                                                                                                                  Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen.

                                                                                                                                                  Deaktiver blokkert ekstern DNS-oppløsningsmodus

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modusen blokkert ekstern DNS-oppløsning.

                                                                                                                                                  Hvis nodene kan løse offentlige DNS-navn via interne DNS-servere, kan du deaktivere denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.

                                                                                                                                                  Før du starter

                                                                                                                                                  Kontroller at de interne DNS-serverne kan løse offentlige DNS-navn, og at nodene kan kommunisere med dem.
                                                                                                                                                  1

                                                                                                                                                  Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/-oppsett, for eksempel https://192.0.2.0/setup),angi administratorlegitimasjonen du konfigurerte for noden, og klikk deretter på Logg på.

                                                                                                                                                  2

                                                                                                                                                  Gå til Oversikt (standardsiden).

                                                                                                                                                  Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja.

                                                                                                                                                  3

                                                                                                                                                  Gå til siden Klareringslager og proxy.

                                                                                                                                                  4

                                                                                                                                                  Klikk på Kontroller proxy-tilkobling.

                                                                                                                                                  Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og den vil forbli i denne modusen. Ellers, etter at du har startet noden på nytt og gått tilbake til Oversikt-siden, bør Blokkert ekstern DNS-oppløsning settes til Nei.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Gjenta proxy-tilkoblingstesten for hver node i klyngen for hybriddatasikkerhet.

                                                                                                                                                  Fjerne en node

                                                                                                                                                  Bruk denne fremgangsmåten til å fjerne en hybrid datasikkerhetsnode fra Webex-skyen. Når du har fjernet noden fra klyngen, sletter du den virtuell maskin for å forhindre ytterligere tilgang til sikkerhetsdataene dine.
                                                                                                                                                  1

                                                                                                                                                  Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuell maskin.

                                                                                                                                                  2

                                                                                                                                                  Fjern noden:

                                                                                                                                                  1. Logg på Control Hub, og velg deretter Tjenester .

                                                                                                                                                  2. På Hybrid Data Security-kortet klikker du på Vis alle for å vise siden Hybriddatasikkerhetsressurser.

                                                                                                                                                  3. Velg klyngen for å vise oversiktspanelet.

                                                                                                                                                  4. Klikk på Åpne nodeliste .

                                                                                                                                                  5. Velg noden du vil fjerne, i Noder-fanen.

                                                                                                                                                  6. Klikk på Handlinger > Avregistrere node .

                                                                                                                                                  3

                                                                                                                                                  Slett den virtuelle maskinen i vSphere-klienten. (I venstre navigasjonsrute høyreklikk du på den virtuelle maskinen og klikker Slett .)

                                                                                                                                                  Hvis du ikke sletter den virtuelle maskinen, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke den virtuelle maskinen til å få tilgang til sikkerhetsdataene dine.

                                                                                                                                                  Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus

                                                                                                                                                  Den mest kritiske tjenesten Hybrid Data Security-klyngen tilbyr, er opprettelse og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet Hybrid Data Security, rutes nye forespørsler om å opprette nøkkel til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til alle brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.

                                                                                                                                                  Siden klyngen utfører den kritiske funksjonen med å oppgi disse nøklene, er det viktig at klyngen fortsetter å kjøre og at forsvarlige sikkerhetskopier opprettholdes. Tap av Hybrid Data Security-databasen eller av ISO-konfigurasjonen som ble brukt for skjemaet, vil føre til TAP av kundeinnhold som ikke kan gjenopprettes. Følgende fremgangsmåter er obligatoriske for å forhindre slikt tap:

                                                                                                                                                  Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenter blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til datasenter i ventemodus.

                                                                                                                                                  1

                                                                                                                                                  Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger

                                                                                                                                                  3

                                                                                                                                                  Avanserte innstillinger side, legger du til konfigurasjonen nedenfor eller fjerner passiveMode konfigurasjon for å gjøre noden aktiv. Noden kan håndtere trafikk når dette er konfigurert.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne.

                                                                                                                                                  5

                                                                                                                                                  Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer.

                                                                                                                                                  6

                                                                                                                                                  I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. .

                                                                                                                                                  7

                                                                                                                                                  Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.


                                                                                                                                                   

                                                                                                                                                  Sørg for Tilkoblet og Koble til når strømmen er på er kontrollert slik at oppdaterte konfigurasjonsendringer kan tre i kraft etter at nodene er startet.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gjenta prosessen for hver node i datasenter i ventemodus.


                                                                                                                                                   

                                                                                                                                                  Kontroller syslog-utdataene for å bekrefte at nodene til datasenter i ventemodus ikke er i passiv modus. «KMS konfigurert i passiv modus» skal ikke vises i syslogs.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Hvis det primære datasenter blir aktivt igjen etter failover, setter du datasenter i passiv modus på nytt ved å følge trinnene beskrevet i Konfigurere datasenter i ventemodus for katastrofegjenoppretting .

                                                                                                                                                  (Valgfritt) Avmonter ISO etter HDS-konfigurasjon

                                                                                                                                                  Standard HDS-konfigurasjonen kjører med ISO-en montert. Men noen kunder foretrekker å ikke la ISO-filer være kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-noder har plukket opp den nye konfigurasjonen.

                                                                                                                                                  Du bruker fortsatt ISO-filene til å gjøre konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO via installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene dine har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en på nytt med denne prosedyren.

                                                                                                                                                  Før du starter

                                                                                                                                                  Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.

                                                                                                                                                  1

                                                                                                                                                  Avslutt én av HDS-nodene dine.

                                                                                                                                                  2

                                                                                                                                                  I vCenter Server Appliance velger du HDS-noden.

                                                                                                                                                  3

                                                                                                                                                  Velg Rediger innstillinger > CD/DVD-stasjon og fjern merket ISO-fil for datalager .

                                                                                                                                                  4

                                                                                                                                                  Slå på HDS-noden og kontroller at det ikke er noen alarmer på minst 20 minutter.

                                                                                                                                                  5

                                                                                                                                                  Gjenta for hver HDS-node etter tur.

                                                                                                                                                  Feilsøke hybrid datasikkerhet

                                                                                                                                                  Vis varsler og feilsøking

                                                                                                                                                  En Hybrid Data Security-distribusjon anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller hvis klyngen fungerer så sakte at forespørslene tidsavbrudd. Hvis brukere ikke kan nå Hybrid Data Security-klyngen, opplever de følgende symptomer:

                                                                                                                                                  • Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)

                                                                                                                                                  • Meldinger og områdetitler kan ikke dekrypteres for:

                                                                                                                                                    • Nye brukere lagt til i et område (kan ikke hente nøkler)

                                                                                                                                                    • Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)

                                                                                                                                                  • Eksisterende brukere i et område fortsetter å kjøre så lenge klientene deres har en hurtigbuffer for krypteringsnøklene

                                                                                                                                                  Det er viktig at du overvåker Hybrid Data Security-klyngen på riktig måte og adresserer alle varsler umiddelbart for å unngå avbrudd i tjenesten.

                                                                                                                                                  Varsler

                                                                                                                                                  Hvis det er et problem med oppsettet av Hybrid Data Security, viser Control Hub varsler til administrator og sender e-postmeldinger til den konfigurerte e-postadresse. Varslene dekker mange vanlige scenarier.

                                                                                                                                                  Tabell 1. Vanlige problemer og fremgangsmåten for å løse dem

                                                                                                                                                  Varsel

                                                                                                                                                  Handling

                                                                                                                                                  Feil ved tilgang til lokal database.

                                                                                                                                                  Se etter databasefeil eller problemer med det lokale nettverket.

                                                                                                                                                  tilkoblingsfeil til lokal database.

                                                                                                                                                  Kontroller at databaseserver er tilgjengelig, og at riktig påloggingsinformasjon for tjenestekonto ble brukt i nodekonfigurasjonen.

                                                                                                                                                  Tilgangsfeil for skytjeneste.

                                                                                                                                                  Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling .

                                                                                                                                                  Fornyer registrering av skytjeneste.

                                                                                                                                                  Registrering for skytjenester ble avbrutt. Fornyelse av registrering pågår.

                                                                                                                                                  Registrering av skytjeneste ble avbrutt.

                                                                                                                                                  Registreringen til skytjenester ble avsluttet. Tjenesten avsluttes.

                                                                                                                                                  Tjenesten ikke aktivert ennå.

                                                                                                                                                  Aktiver en prøveversjon, eller fullfør flyttingen av prøveversjonen til produksjon.

                                                                                                                                                  Det konfigurerte domenet samsvarer ikke med serversertifikat.

                                                                                                                                                  Kontroller at serversertifikat samsvarer med det konfigurerte domenet for tjenesteaktivering.

                                                                                                                                                  Den mest sannsynlige årsaken er at sertifikatet CN nylig ble endret og nå er forskjellig fra CN som ble brukt under det første oppsettet.

                                                                                                                                                  Kunne ikke autentisere for skytjenester.

                                                                                                                                                  Se etter nøyaktighet og mulig utløp av legitimasjon for tjenestekonto .

                                                                                                                                                  Kunne ikke åpne den lokale nøkkellagerfilen.

                                                                                                                                                  Se etter integritet og passordnøyaktighet i den lokale nøkkellagerfilen.

                                                                                                                                                  Det lokale serversertifikat er ugyldig.

                                                                                                                                                  Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans.

                                                                                                                                                  Kan ikke legge inn beregninger.

                                                                                                                                                  Sjekk lokal nettverkstilgang til eksterne skytjenester.

                                                                                                                                                  Katalogen /media/configdrive/hds finnes ikke.

                                                                                                                                                  Kontroller konfigurasjonen for ISO-montering på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å montere ved omstart, og at den er vellykket.

                                                                                                                                                  Feilsøke hybrid datasikkerhet

                                                                                                                                                  Bruk følgende generelle retningslinjer når du feilsøker problemer med Hybrid Data Security.
                                                                                                                                                  1

                                                                                                                                                  Se gjennom Control Hub for å se eventuelle varsler, og reparer alle elementer du finner der.

                                                                                                                                                  2

                                                                                                                                                  Se gjennom syslog-serverutdataene for aktivitet fra Hybrid Data Security-distribusjonen.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco-støtte .

                                                                                                                                                  Andre merknader

                                                                                                                                                  Kjente problemer med hybrid datasikkerhet

                                                                                                                                                  • Hvis du avslutter Hybrid Data Security-klyngen (ved å slette den i Control Hub eller ved å avslutte alle noder), mister ISO-konfigurasjonsfilen eller mister tilgangen til nøkkellagerdatabasen, kan brukerne av Webex-appen ikke lenger bruke områder under Personene sine liste som ble opprettet med nøkler fra KMS. Dette gjelder både prøveversjon og produksjonsdistribusjoner. Vi har for øyeblikket ingen løsning eller løsning for dette problemet, og vi ber deg innstendig om ikke å avslutte HDS-tjenestene dine når de håndterer aktive brukerkontoer.

                                                                                                                                                  • En klient som har en eksisterende ECDH-tilkobling til en KMS, opprettholder denne tilkoblingen i en periode (sannsynligvis én time). Når en bruker blir medlem av en prøveversjon av Hybrid Data Security, fortsetter brukerens klient å bruke den eksisterende ECDH-tilkoblingen frem til tidsavbrudd. Alternativt kan brukeren logge av og på igjen Webex-appen for å oppdatere plasseringen appen kontakter for krypteringsnøkler.

                                                                                                                                                    Den samme virkemåten oppstår når du flytter en prøveversjon til produksjon for organisasjonen. Alle ikke-prøvebrukere med eksisterende ECDH-tilkoblinger til de tidligere datasikkerhetstjenestene vil fortsette å bruke disse tjenestene til ECDH-tilkoblingen reforhandles (gjennom tidsavbrudd eller ved å logge av og på igjen).

                                                                                                                                                  Bruk OpenSSL til å generere en PKCS12-fil

                                                                                                                                                  Før du starter

                                                                                                                                                  • OpenSSL er ett verktøy som kan brukes til å gjøre PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi hverken støtter eller promoterer én måte fremfor en annen.

                                                                                                                                                  • Hvis du velger å bruke OpenSSL, tilbyr vi denne fremgangsmåten som en retningslinje for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i Krav til X.509-sertifikater . Forstå disse kravene før du fortsetter.

                                                                                                                                                  • Installer OpenSSL i et støttet miljø. Sehttps://www.openssl.org for programvaren og dokumentasjonen.

                                                                                                                                                  • Opprett en privat nøkkel.

                                                                                                                                                  • Start denne prosedyren når du mottar serversertifikat fra sertifiseringsinstans (CA).

                                                                                                                                                  1

                                                                                                                                                  Når du mottar serversertifikat fra CA, lagrer du det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Vis sertifikatet som tekst, og bekreft detaljene.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Bruk et tekstredigeringsprogram til å opprette en sertifikatpakkefil kalt hdsnode-bundle.pem. Gruppefilen må inneholde serversertifikat, eventuelle mellomliggende CA-sertifikater og CA-rotsertifikatene, i formatet nedenfor:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Opprett .p12-filen med det vennlige navnet kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontroller serversertifikat .

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Skriv inn et passord når du blir bedt om det for å kryptere den private nøkkelen slik at den vises i utdataene. Deretter kontrollerer du at den private nøkkelen og det første sertifikatet inkluderer linjene friendlyName: kms-private-key.

                                                                                                                                                    Eksempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Hva nå?

                                                                                                                                                  Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet . Du vil bruke hdsnode.p12 filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-vertene .


                                                                                                                                                   

                                                                                                                                                  Du kan bruke disse filene på nytt til å be om et nytt sertifikat når det opprinnelige sertifikatet utløper.

                                                                                                                                                  Trafikk mellom HDS-nodene og skyen

                                                                                                                                                  Utgående trafikk for innsamling av beregninger

                                                                                                                                                  Hybriddatasikkerhetsnodene sender bestemte beregninger til Webex-skyen. Disse inkluderer systemmålinger for maks. haug, brukt haug, CPU-belastning og antall tråder. målinger for synkrone og asynkrone tråder; målinger for varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller en forespørselskølengde; målinger på datalageret; og måleverdier for krypteringstilkobling. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).

                                                                                                                                                  Innkommende trafikk

                                                                                                                                                  Hybriddatasikkerhetsnodene mottar følgende typer innkommende trafikk fra Webex-skyen:

                                                                                                                                                  • Krypteringsforespørsler fra klienter, som rutes av krypteringstjenesten

                                                                                                                                                  • Oppgraderinger til nodeprogramvaren

                                                                                                                                                  Konfigurer Squid-proxyer for hybrid datasikkerhet

                                                                                                                                                  Websocket kan ikke koble til via Squid-proxy

                                                                                                                                                  Squid-proxyer som inspiserer HTTPS-trafikk, kan forstyrre etableringen av websocket ( wss:)-tilkoblinger som Hybrid Data Security krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss: trafikk for riktig drift av tjenestene.

                                                                                                                                                  Squid 4 og 5

                                                                                                                                                  Legg til on_unsupported_protocol direktiv til squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi testet Hybrid Data Security med følgende regler lagt til squid.conf. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Forord

                                                                                                                                                  Ny og endret informasjon

                                                                                                                                                  Dato

                                                                                                                                                  Endringer gjort

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  7. august 2023

                                                                                                                                                  23. mai 2023

                                                                                                                                                  6. desember 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop må kjøre et installasjonsprogram før du kan installere HDS-noder. Se Krav til Docker-skrivebord .

                                                                                                                                                  24. juni 2021

                                                                                                                                                  Merk at du kan bruke den private nøkkelfilen og CSR-en på nytt for å be om et annet sertifikat. Se Bruk OpenSSL til å generere en PKCS12-fil for detaljer.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Endret VM-kravet for lokal harddiskplass til 30 GB. Se Krav til virtuell vert for detaljer.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  HDS-installasjonsverktøyet kan nå kjøres bak en proxy. Se Opprett en konfigurasjons-ISO for HDS-vertene for detaljer.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS kan nå kjøres uten en montert ISO-fil. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Lagt til informasjon om HDS-oppsettverktøy og proxyer til Opprett en konfigurasjons-ISO for HDS-vertene .

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Oppdatert Last ned installasjonsfiler .

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med kommandoer for FedRAMP-miljøer.

                                                                                                                                                  14. august 2020

                                                                                                                                                  Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med endringer i påloggingsprosessen.

                                                                                                                                                  5. august 2020

                                                                                                                                                  Oppdatert Test hybriddistribusjonen av datasikkerhet for endringer i loggmeldinger.

                                                                                                                                                  Oppdatert Krav til virtuell vert for å fjerne maksimalt antall verter.

                                                                                                                                                  16. juni 2020

                                                                                                                                                  Oppdatert Fjerne en node for endringer i Control Hub-grensesnittet.

                                                                                                                                                  4. juni 2020

                                                                                                                                                  Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for endringer i de avanserte innstillingene du måtte angi.

                                                                                                                                                  29. mai 2020

                                                                                                                                                  Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for å vise at du også kan bruke TLS med SQL Server-databaser, brukergrensesnittendringer og andre presiseringer.

                                                                                                                                                  5. mai 2020

                                                                                                                                                  Oppdatert Krav til virtuell vert for å vise nye krav til ESXi 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Oppdatert Krav til ekstern tilkobling med nye Americas CI-verter.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Oppdatert Krav til ekstern tilkobling med informasjon om regionale CI-verter.

                                                                                                                                                  20. februar 2020Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med informasjon om det nye, valgfrie skjermbildet for avanserte innstillinger i HDS-oppsettverktøyet.
                                                                                                                                                  4. februar 2020Oppdatert Krav til proxy-server .
                                                                                                                                                  16. desember 2019Klargjorde kravet om at blokkert ekstern DNS-oppløsningsmodus skal fungere i Krav til proxy-server .
                                                                                                                                                  19. november 2019

                                                                                                                                                  La til informasjon om blokkert ekstern DNS-oppløsningsmodus i følgende deler:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Du kan nå konfigurere nettverksinnstillinger for en node mens du distribuerer OVA i stedet for etterpå.

                                                                                                                                                  Oppdaterte følgende deler tilsvarende:


                                                                                                                                                   

                                                                                                                                                  Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon har blitt testet med ESXi 6.5. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Lagt til SQL Server Standard i Krav til databaseserver .

                                                                                                                                                  29. august 2019Lagt til Konfigurer Squid-proxyer for hybrid datasikkerhet vedlegg med veiledning om konfigurering av Squid-proxyer til å ignorere websocket-trafikk for riktig drift.
                                                                                                                                                  20. august 2019

                                                                                                                                                  Lagt til og oppdaterte deler for å dekke proxy-støtte for hybrid datasikkerhetsnodekommunikasjon til Webex-skyen.

                                                                                                                                                  Hvis du bare vil ha tilgang til proxy-støtteinnholdet for en eksisterende distribusjon, kan du se Proxy-støtte for hybrid datasikkerhet og Webex-videonett hjelpeartikkel.

                                                                                                                                                  13. juni 2019Oppdatert Oppgaveflyt fra prøveversjon til produksjon med en påminnelse om å synkronisere HdsTrialGroup gruppeobjekt før du starter en prøveversjon hvis organisasjonen bruker katalogsynkronisering.
                                                                                                                                                  6. mars 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Korrigerte mengden lokal harddiskplass per server som du bør sette til side når du klargjør de virtuelle vertene som blir Hybrid Data Security-nodene, fra 50 GB til 20 GB, for å gjenspeile størrelsen på disken som OVA-en oppretter.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Hybrid Data Security-noder støtter nå krypterte tilkoblinger med PostgreSQL-databaseservere, og krypterte loggingstilkoblinger til en TLS-kompatibel syslog-server. Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med instruksjoner.

                                                                                                                                                  • Fjernet destinasjonsadresser fra tabellen Krav til Internett-tilkobling for virtuelle hybriddatasikkerhetsnoder. Tabellen viser nå til listen som vedlikeholdes i tabellen «Flere URL-adresser for Webex Teams-hybridtjenester» for Nettverkskrav for Webex Teams-tjenester .

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid Data Security støtter nå Microsoft SQL Server som en database. SQL Server Alltid på (Alltid på failover-klynger og Alltid på tilgjengelighetsgrupper) støttes av JDBC-driverne som brukes i Hybrid Data Security. Lagt til innhold relatert til distribusjon med SQL Server.


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server-støtte er bare ment for nye distribusjoner av hybriddatasikkerhet. Vi støtter for øyeblikket ikke overføring av data fra PostgreSQL til Microsoft SQL Server i en eksisterende distribusjon.

                                                                                                                                                  5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. juli 2018

                                                                                                                                                  21. mai 2018

                                                                                                                                                  Endret terminologi for å gjenspeile endringen av varemerke for Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security er nå Hybrid Data Security.

                                                                                                                                                  • Cisco Spark-appen er nå Webex-appen.

                                                                                                                                                  • Cisco Collaboraton Cloud er nå Webex-skyen.

                                                                                                                                                  11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • I Krav til X.509-sertifikater tabellen, angitt at sertifikatet ikke kan være et jokertegnsertifikat, og at KMS bruker CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  2. november 2017

                                                                                                                                                  • Tydeliggjort katalogsynkronisering av HdsTrialGroup.

                                                                                                                                                  • Løste instruksjoner for opplasting av ISO konfigurasjonsfil for montering til VM-nodene.

                                                                                                                                                  18. august 2017

                                                                                                                                                  Først publisert

                                                                                                                                                  Kom i gang med Hybrid Data Security

                                                                                                                                                  Oversikt over hybrid datasikkerhet

                                                                                                                                                  Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er ende-til-ende-kryptering av innhold, aktivert av Webex App-klienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografinøklene som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.

                                                                                                                                                  Som standard får alle Webex App-kunder ende-til-ende-kryptering med dynamiske nøkler lagret i KMS-skyen, i Ciscos sikkerhetsområde. Hybrid datasikkerhet flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, slik at ingen andre enn deg har nøklene til ditt krypterte innhold.

                                                                                                                                                  Arkitektur for sikkerhetsriket

                                                                                                                                                  Webex-skyarkitekturen skiller forskjellige typer tjenester i separate områder, eller klareringsdomener, som vist nedenfor.

                                                                                                                                                  Separasjonsområder (uten hybrid datasikkerhet)

                                                                                                                                                  For å forstå Hybrid Data Security ytterligere, la oss først se på dette rene skysaken, der Cisco leverer alle funksjoner i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan korreleres direkte med personlig informasjon, for eksempel e-postadresse, er logisk og fysisk atskilt fra sikkerhetsområdet i datasenter B. Begge er igjen atskilt fra området der kryptert innhold til slutt lagres , i datasenter C.

                                                                                                                                                  I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og som er autentisert med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:

                                                                                                                                                  1. Klienten oppretter en sikker tilkobling med nøkkelbehandlingstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikker tilkobling bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en AES-256-hovednøkkel.

                                                                                                                                                  2. Meldingen krypteres før den forlater klienten. Klienten sender den til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe til med fremtidige søk etter innholdet.

                                                                                                                                                  3. Den krypterte meldingen sendes til samsvarstjenesten for samsvarskontroll.

                                                                                                                                                  4. Den krypterte meldingen lagres i lagringsområdet.

                                                                                                                                                  Når du distribuerer Hybrid Data Security, flytter du sikkerhetsområdets funksjoner (KMS, indeksering og samsvar) til det lokale datasenter. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos riker.

                                                                                                                                                  Samarbeide med andre organisasjoner

                                                                                                                                                  Brukere i organisasjonen din kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen (fordi det ble opprettet av en av brukerne), sender KMS-en nøkkelen til klienten over en ECDH-sikker kanal. Når en annen organisasjon eier nøkkelen for området, ruter KMS-en imidlertid forespørselen ut til Webex-skyen gjennom en egen ECDH-kanal for å hente nøkkelen fra riktig KMS, og returnerer deretter nøkkelen til brukeren på den opprinnelige kanalen.

                                                                                                                                                  KMS-tjenesten som kjøres på organisasjon A, validerer tilkoblingene til KMS-er i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet ditt for detaljer om generering av et x.509-sertifikat som skal brukes med Hybrid Data Security-distribusjonen.

                                                                                                                                                  Forventninger for distribusjon av hybrid datasikkerhet

                                                                                                                                                  En Hybrid Data Security-distribusjon krever betydelig kundeengasjement og en bevissthet om risikoene som følger med å eie krypteringsnøkler.

                                                                                                                                                  Hvis du vil distribuere Hybrid Data Security, må du oppgi:

                                                                                                                                                  Fullstendig tap av enten konfigurasjons-ISO-en du bygger for Hybrid Data Security eller databasen du oppgir, vil føre til tap av nøklene. Tap av nøkkel forhindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:

                                                                                                                                                  • Behandle sikkerhetskopieringen og gjenopprettingen av databasen og konfigurasjonen av ISO.

                                                                                                                                                  • Vær forberedt på å utføre rask gjenoppretting ved katastrofegjenoppretting hvis det oppstår en katastrofe, for eksempel en databasediskfeil eller en datasenter .


                                                                                                                                                   

                                                                                                                                                  Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon.

                                                                                                                                                  Konfigurasjonsprosess på høyt nivå

                                                                                                                                                  Dette dokumentet dekker oppsett og administrasjon av en Hybrid Data Security-distribusjon:

                                                                                                                                                  • Konfigurer Hybrid Data Security – Dette inkluderer klargjøring av nødvendig infrastruktur og installasjon av Hybrid Data Security-programvare, testing av distribusjonen med et undersett av brukere i prøveversjonsmodus, og, når testingen er fullført, overgang til produksjon. Dette konverterer hele organisasjonen til å bruke Hybrid Data Security-klyngen for sikkerhetsfunksjoner.

                                                                                                                                                    Oppsett-, prøve- og produksjonsfasene dekkes i detalj i de neste tre kapitlene.

                                                                                                                                                  • Vedlikeholde Hybrid Data Security-distribusjonen – Webex-skyen gir automatisk løpende oppgraderinger. IT-avdelingen din kan tilby nivå 1-støtte for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke skjermvarsler og konfigurere e-postbaserte varsler i Control Hub.

                                                                                                                                                  • Forstå vanlige varsler, feilsøkingstrinn og kjente problemer –Hvis du får problemer med å distribuere eller bruke Hybrid Data Security, kan det siste kapitlet i denne veiledningen og tillegget Kjente problemer hjelpe deg med å finne ut og løse problemet.

                                                                                                                                                  Hybrid distribusjonsmodell for datasikkerhet

                                                                                                                                                  I foretningsdata distribuerer du Hybrid Data Security som én enkelt klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen gjennom sikre websockets og sikker HTTP.

                                                                                                                                                  Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere den virtuelle enheten på de virtuelle maskinene du oppgir. Du bruker installasjonsverktøyet for HDS til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Hybrid Data Security-klyngen bruker den medfølgende Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)

                                                                                                                                                  Hybrid distribusjonsmodell for datasikkerhet

                                                                                                                                                  Det minste antallet noder du kan ha i en klynge, er to. Vi anbefaler minst tre, og du kan ha opptil fem. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)

                                                                                                                                                  Alle nodene i en klynge har tilgang til det samme nøkkeldatalageret og loggaktiviteten til den samme syslog-serveren. Nodene i seg selv er statsløse og håndterer nøkkelforespørsler på en roundrobin-måte, som anvist av skyen.

                                                                                                                                                  Nodene blir aktive når du registrerer dem i Control Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.

                                                                                                                                                  Vi støtter bare én klynge per organisasjon.

                                                                                                                                                  Prøveversjonsmodus for hybrid datasikkerhet

                                                                                                                                                  Etter at du har satt opp en Hybrid Data Security-distribusjon, kan du først prøve den med et sett med pilotbrukere. I løpet av prøveperioden bruker disse brukerne det lokale Hybrid Data Security-domenet ditt for krypteringsnøkler og andre sikkerhetstjenester. De andre brukerne dine fortsetter å bruke sikkerhetsområdet for skyen.

                                                                                                                                                  Hvis du bestemmer deg for ikke å fortsette med distribusjonen i løpet av prøveperioden og deaktivere tjenesten, mister pilotbrukerne og alle brukere de har samhandlet med ved å opprette nye områder i løpet av prøveperioden tilgangen til meldingene og innholdet. De vil se «Denne meldingen kan ikke dekrypteres» i Webex-appen.

                                                                                                                                                  Hvis du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, og du er klar til å utvide Hybrid Data Security til alle brukerne, flytter du distribusjonen til produksjon. Pilotbrukere fortsetter å ha tilgang til nøklene som var i bruk under prøveversjonen. Du kan imidlertid ikke gå frem og tilbake mellom produksjonsmodus og den opprinnelige prøveversjonen. Hvis du må deaktivere tjenesten, for eksempel for å utføre katastrofegjenoppretting, må du starte en ny prøveversjon og konfigurere settet med pilotbrukere for den nye prøveversjonen før du går tilbake til produksjonsmodus når du aktiverer den. Hvorvidt brukere beholder tilgangen til data på dette tidspunktet, avhenger av om du har vedlikeholdt sikkerhetskopier av datalager og ISO konfigurasjonsfil for Hybrid Data Security-nodene i klyngen.

                                                                                                                                                  Datasenter i ventemodus for katastrofegjenoppretting

                                                                                                                                                  Under distribusjonen konfigurerer du et sikkert datasenter i ventemodus . I tilfelle en datasenter , kan du feile distribusjonen manuelt over til datasenter i ventemodus .

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuell failover til datasenter i ventemodus

                                                                                                                                                  Databasene til det aktive datasenteret og datasenteret i ventemodus er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover. ISO-filen til datasenter for ventemodus oppdateres med flere konfigurasjoner som sikrer at nodene registreres i organisasjonen, men ikke håndterer trafikk. Derfor forblir nodene i standby datasenter alltid oppdatert med den nyeste versjonen av HDS-programvaren.


                                                                                                                                                   

                                                                                                                                                  De aktive hybriddatasikkerhetsnodene må alltid være i samme datasenter som den aktive databaseserver.

                                                                                                                                                  Konfigurere datasenter i ventemodus for katastrofegjenoppretting

                                                                                                                                                  Følg trinnene nedenfor for å konfigurere ISO-filen for datasenter i ventemodus:

                                                                                                                                                  Før du starter

                                                                                                                                                  • datasenter i ventemodus skal speile produksjonsmiljøet til virtuelle maskiner og en sikkerhetskopi av PostgreSQL- eller Microsoft SQL Server-database. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. (Se Datasenter i ventemodus for katastrofegjenoppretting for en oversikt over denne failover-modellen.)

                                                                                                                                                  • Kontroller at databasesynkronisering er aktivert mellom databasen med aktive og passive klyngenoder.

                                                                                                                                                  1

                                                                                                                                                  Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .


                                                                                                                                                   

                                                                                                                                                  ISO-filen må være en kopi av den originale ISO-filen til det primære datasenter som følgende konfigurasjonsoppdateringer skal utføres på.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger

                                                                                                                                                  3

                                                                                                                                                  Avanserte innstillinger side, legger du til konfigurasjonen nedenfor for å plassere noden i passiv modus. I denne modusen vil noden være registrert i organisasjonen og koblet til skyen, men vil ikke håndtere trafikk.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne.

                                                                                                                                                  5

                                                                                                                                                  Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer.

                                                                                                                                                  6

                                                                                                                                                  I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. .

                                                                                                                                                  7

                                                                                                                                                  Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.


                                                                                                                                                   

                                                                                                                                                  Sørg for Tilkoblet og Koble til når strømmen er på er kontrollert slik at oppdaterte konfigurasjonsendringer kan tre i kraft etter at nodene er startet.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gjenta prosessen for hver node i datasenter i ventemodus.


                                                                                                                                                   

                                                                                                                                                  Kontroller syslogs for å bekrefte at nodene er i passiv modus. Du skal kunne se meldingen «KMS konfigurert i passiv modus» i syslogs.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Etter konfigurering passiveMode i ISO-filen og lagrer den, kan du opprette en annen kopi av ISO-filen uten passiveMode konfigurasjonen og lagre den på et sikkert sted. Denne kopien av ISO-filen uten passiveMode konfigurert kan hjelpe i en rask failover-prosess under katastrofegjenoppretting. Se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus for den detaljerte failover-prosedyren.

                                                                                                                                                  Proxy-støtte

                                                                                                                                                  Hybriddatasikkerhet støtter eksplisitte, gjennomsiktige proxyer for inspeksjon og ikke-inspeksjon. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et grensesnitt for plattformadministrasjon på nodene for sertifikatadministrasjon og kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.

                                                                                                                                                  Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:

                                                                                                                                                  • Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Klareringslager og proxy-konfigurasjon til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.

                                                                                                                                                  • Gjennomsiktig ikke-inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse, og bør ikke trenge endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.

                                                                                                                                                  • Gjennomsiktig tunnelering eller inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjon er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de klarerer proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer om hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).

                                                                                                                                                  • Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og hvilken godkjenningsplan som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon for hver node:

                                                                                                                                                    1. Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

                                                                                                                                                    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

                                                                                                                                                    3. Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:

                                                                                                                                                      • HTTP – Viser og kontrollerer alle forespørsler som klienten sender.

                                                                                                                                                      • HTTPS – Gir en kanal til serveren. Klienten mottar og godkjenner serverens sertifikat.

                                                                                                                                                    4. Godkjenningstype – Velg blant følgende godkjenningstyper:

                                                                                                                                                      • Ingen – Ingen ytterligere godkjenning er nødvendig.

                                                                                                                                                        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

                                                                                                                                                      • Grunnleggende – Brukes for en HTTP-brukeragent til å angi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

                                                                                                                                                        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

                                                                                                                                                        Krever at du skriver inn brukernavn og passord for hver node.

                                                                                                                                                      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

                                                                                                                                                        Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.

                                                                                                                                                        Krever at du skriver inn brukernavn og passord for hver node.

                                                                                                                                                  Eksempel på noder og proxy for hybriddatasikkerhet

                                                                                                                                                  Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og HTTPS eksplisitt inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.

                                                                                                                                                  Blokkert ekstern DNS-oppløsningsmodus (eksplisitt proxy-konfigurasjoner)

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsningsmodus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.

                                                                                                                                                  Forbered miljøet ditt

                                                                                                                                                  Krav for hybrid datasikkerhet

                                                                                                                                                  Krav til Docker-skrivebord

                                                                                                                                                  Før du installerer HDS-nodene, må du ha Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig lisensieringsmodellen. Organisasjonen din kan kreve et betalt abonnement for Docker Desktop. Hvis du vil ha mer informasjon, se Docker-blogginnlegget, « Docker oppdaterer og utvider produktabonnementene våre «.

                                                                                                                                                  Krav til X.509-sertifikater

                                                                                                                                                  sertifikatkjede må oppfylle følgende krav:

                                                                                                                                                  Tabell 1. X.509-sertifikatkrav for hybrid distribusjon av datasikkerhet

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Signert av en klarert sertifiseringsinstans (CA)

                                                                                                                                                  Som standard klarerer vi sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) påhttps://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Bærer et Common Name- domenenavn (CN) som identifiserer Hybrid Data Security-distribusjonen

                                                                                                                                                  • Er ikke et jokertegnsertifikat

                                                                                                                                                  CN-en trenger ikke å være tilgjengelig eller være en direktevert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel hds.company.com.

                                                                                                                                                  CN kan ikke inneholde en * (jokertegn).

                                                                                                                                                  CN brukes til å bekrefte hybriddatasikkerhetsnodene til Webex App-klienter. Alle hybriddatasikkerhetsnodene i klyngen bruker det samme sertifikatet. KMS-en din identifiserer seg ved hjelp av CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene.

                                                                                                                                                  Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN- domenenavn. Velg et domene som kan gjelde for både prøveversjonen og produksjonsdistribusjonene.

                                                                                                                                                  • Signatur som ikke er SHA1

                                                                                                                                                  KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjoners KMS-er.

                                                                                                                                                  • Formatert som en passordbeskyttet PKCS #12-fil

                                                                                                                                                  • Bruk det vennlige navnet på kms-private-key for å merke sertifikatet, den private nøkkelen og eventuelle mellomsertifikater som skal lastes opp.

                                                                                                                                                  Du kan bruke et konverteringsprogram som OpenSSL til å endre sertifikatets format.

                                                                                                                                                  Du må angi passordet når du kjører HDS-installasjonsverktøyet.

                                                                                                                                                  KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifiseringsinstanser krever at utvidede begrensninger for nøkkelbruk brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.

                                                                                                                                                  Krav til virtuell vert

                                                                                                                                                  De virtuelle vertene som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen, har følgende krav:

                                                                                                                                                  • Minst to separate verter (tre anbefales) plassert i det samme sikre datasenter

                                                                                                                                                  • VMware ESXi 6.5 (eller nyere) er installert og kjører.


                                                                                                                                                     

                                                                                                                                                    Du må oppgradere hvis du har en tidligere versjon av ESXi.

                                                                                                                                                  • Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokal harddiskplass per server

                                                                                                                                                  Krav til databaseserver


                                                                                                                                                   

                                                                                                                                                  Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene, når de er installert, oppretter databaseskjemaet.

                                                                                                                                                  Det finnes to alternativer for databaseserver. Kravene for hver av dem er som følger:

                                                                                                                                                  Tabell 2. Krav til databaseserver etter databasetype

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installert og kjører.

                                                                                                                                                  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) er installert.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 krever Service Pack 2 og kumulativ oppdatering 2 eller senere.

                                                                                                                                                  Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

                                                                                                                                                  Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

                                                                                                                                                  HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC-driver 42.2.5

                                                                                                                                                  SQL Server JDBC-driver 4.6

                                                                                                                                                  Denne driverversjonen støtter SQL Server Always On ( Alltid på failover-klyngeforekomster og Alltid på tilgjengelighetsgrupper ).

                                                                                                                                                  Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server

                                                                                                                                                  Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:

                                                                                                                                                  • HDS-nodene, Active Directory -infrastrukturen og MS SQL Server må alle være synkronisert med NTP.

                                                                                                                                                  • Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.

                                                                                                                                                  • DNS-serverne du oppgir til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).

                                                                                                                                                  • Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et Service Principal Name (SPN) i Active Directory. Se Registrer et hovednavn for tjeneste for Kerberos Connections .

                                                                                                                                                    HDS-oppsettverktøyet, HDS-startprogrammet og lokal KMS må alle bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN når de ber om tilgang med Kerberos-autentisering.

                                                                                                                                                  Krav til ekstern tilkobling

                                                                                                                                                  Konfigurer brannmuren til å tillate følgende tilkoblingsmuligheter for HDS-programmene:

                                                                                                                                                  Applikasjon

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Veibeskrivelse fra app

                                                                                                                                                  Destinasjon

                                                                                                                                                  Hybride datasikkerhetsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS og WSS

                                                                                                                                                  • Webex-servere:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle Common Identity-verter

                                                                                                                                                  • Andre nettadresser som er oppført for Hybrid Data Security i Ytterligere URL-adresser for Webex Hybrid Services tabell over Nettverkskrav for Webex-tjenester

                                                                                                                                                  HDS-oppsettverktøy

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-verter

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid Data Security-nodene fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmur tillater de nødvendige utgående tilkoblingene til domenemålene i den foregående tabellen. For tilkoblinger som går inn til Hybrid Data Security-nodene, skal ingen porter være synlige fra Internett. I datasenter ditt trenger klienter tilgang til hybriddatasikkerhetsnodene på TCP-portene 443 og 22 til administrative formål.

                                                                                                                                                  URL-adressene for CI-vertene (Common Identity) er regionsspesifikke. Dette er de nåværende CI-vertene:

                                                                                                                                                  Region

                                                                                                                                                  Felles URL-adresser for vertsidentitet

                                                                                                                                                  Nord- og Sør-Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Den europeiske union

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Krav til proxy-server

                                                                                                                                                  • Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene dine for hybriddatasikkerhet.

                                                                                                                                                    • Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplisitt proxy – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av WebSocket (wss:) tilkoblinger. Hvis du vil omgå dette problemet, kan du se Konfigurer Squid-proxyer for hybrid datasikkerhet .

                                                                                                                                                  • Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:

                                                                                                                                                    • Ingen godkjenning med HTTP eller HTTPS

                                                                                                                                                    • Enkel godkjenning med HTTP eller HTTPS

                                                                                                                                                    • Sammendragsgodkjenning kun med HTTPS

                                                                                                                                                  • Hvis du vil ha en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne håndboken beskriver hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnoder.

                                                                                                                                                  • Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.

                                                                                                                                                  • Proxyer som inspiserer nettrafikk, kan forstyrre WebSocket-tilkoblinger. Hvis dette problemet oppstår, kan du omgå (ikke inspisere) trafikk til wbx2.com og ciscospark.com vil løse problemet.

                                                                                                                                                  Fullfør forutsetningene for hybrid datasikkerhet

                                                                                                                                                  Bruk denne sjekklisten for å sikre at du er klar til å installere og konfigurere Hybrid Data Security-klyngen.
                                                                                                                                                  1

                                                                                                                                                  Kontroller at Webex-organisasjonen din er aktivert for Pro Pack for Cisco Webex Control Hub, og få legitimasjonen til en konto med fulle administrator . Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen.

                                                                                                                                                  2

                                                                                                                                                  Velg et domenenavn for HDS-distribusjonen (for eksempel hds.company.com) og få en sertifikatkjede som inneholder et X.509-sertifikat, privat nøkkel og eventuelle mellomsertifikater. sertifikatkjede må oppfylle kravene i Krav til X.509-sertifikater .

                                                                                                                                                  3

                                                                                                                                                  Klargjør identiske virtuelle verter som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen. Du trenger minst to separate verter (tre anbefales) plassert i det samme sikre datasenter, som oppfyller kravene i Krav til virtuell vert .

                                                                                                                                                  4

                                                                                                                                                  Klargjør databaseserver som skal fungere som datalager for klyngen, i henhold til Krav til databaseserver . databaseserver må være lokalisert i det sikre datasenter med de virtuelle vertene.

                                                                                                                                                  1. Opprett en database for nøkkellagring. (Du må opprette denne databasen – ikke bruk standarddatabasen. HDS-applikasjonene oppretter databaseskjemaet når de er installert.)

                                                                                                                                                  2. Samle inn detaljene som nodene skal bruke til å kommunisere med databaseserver:

                                                                                                                                                    • vertsnavn eller IP-adresse (vert) og port

                                                                                                                                                    • navnet på databasen (dbname) for nøkkellagring

                                                                                                                                                    • brukernavnet og passordet til en bruker med alle rettigheter i nøkkellagringsdatabasen

                                                                                                                                                  5

                                                                                                                                                  Hvis du vil ha rask gjenoppretting ved katastrofegjenoppretting, konfigurerer du et sikkerhetskopimiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet for virtuelle datamaskiner og en databaseserver. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner.

                                                                                                                                                  6

                                                                                                                                                  Konfigurer en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadresse og syslog-porten (standard er UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Opprett en sikker sikkerhetskopieringspolicy for Hybrid Data Security-nodene, databaseserver og syslog-verten. For å forhindre tap av ugjenopprettelig data må du som et minimum sikkerhetskopiere databasen og ISO-konfigurasjonsfilen som er generert for Hybrid Data Security-nodene.


                                                                                                                                                   

                                                                                                                                                  Siden Hybrid Data Security-nodene lagrer nøklene som brukes i kryptering og dekryptering av innhold, vil manglende vedlikehold av en operativ distribusjon føre til at TAP som ikke kan gjenvinnes av det innholdet.

                                                                                                                                                  Webex App-klienter hurtigbufrer nøklene sine, så et driftsbrudd vil kanskje ikke merkes umiddelbart, men vil bli tydelig over tid. Selv om midlertidige strømbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopier tilgjengelig) av enten databasen eller ISO-konfigurasjonsfilen vil imidlertid føre til kundedata som ikke kan gjenopprettes. Operatørene av Hybrid Data Security-nodene forventes å opprettholde hyppige sikkerhetskopier av databasen og ISO-konfigurasjonsfilen, og være forberedt på å gjenoppbygge Hybrid Data Security datasenter hvis det oppstår en katastrofal feil.

                                                                                                                                                  8

                                                                                                                                                  Kontroller at brannmurkonfigurasjonen tillater tilkobling for Hybrid Data Security-nodene som angitt i Krav til ekstern tilkobling .

                                                                                                                                                  9

                                                                                                                                                  Installer Docker (https://www.docker.com ) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til den på http://127.0.0.1:8080.

                                                                                                                                                  Du bruker Docker-forekomsten til å laste ned og kjøre installasjonsverktøyet for HDS, som bygger den lokale konfigurasjonsinformasjon for alle Hybrid Data Security-nodene. Organisasjonen din kan trenge en Docker Desktop-lisens. Se Krav til Docker-skrivebord hvis du vil ha mer informasjon.

                                                                                                                                                  Hvis du vil installere og kjøre HDS-installasjonsverktøyet, må den lokale maskinen ha tilkoblingsmulighetene som er angitt i Krav til ekstern tilkobling .

                                                                                                                                                  10

                                                                                                                                                  Hvis du integrerer en proxy med Hybrid Data Security, må du kontrollere at den oppfyller Krav til proxy-server .

                                                                                                                                                  11

                                                                                                                                                  Hvis organisasjonen din bruker katalogsynkronisering, oppretter du en gruppe i Active Directory som heter HdsTrialGroup, og legg til pilotbrukere. Prøvegruppen kan ha opptil 250 brukere. Filen HdsTrialGroup objektet må synkroniseres til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil synkronisere et gruppeobjekt, velger du det i katalogkoblingen Konfigurasjon > Objektvalg -menyen. (For detaljerte instruksjoner se Distribusjonsveiledning for Cisco Directory Connector. )


                                                                                                                                                   

                                                                                                                                                  Taster for et gitt område angis av oppretteren av området. Når du velger pilotbrukere, må du huske på at hvis du bestemmer deg for å deaktivere Hybrid Data Security-distribusjonen permanent, mister alle brukere tilgangen til innhold i områdene som ble opprettet av pilotbrukerne. Tapet blir tydelig så snart brukernes apper oppdaterer de bufrede kopiene av innholdet.

                                                                                                                                                  Konfigurer en hybrid datasikkerhetsklynge

                                                                                                                                                  Oppgaveflyt for distribusjon av hybrid datasikkerhet

                                                                                                                                                  Før du starter

                                                                                                                                                  Forbered miljøet ditt

                                                                                                                                                  1

                                                                                                                                                  Last ned installasjonsfiler

                                                                                                                                                  Last ned OVA-filen til din lokale maskin for senere bruk.

                                                                                                                                                  2

                                                                                                                                                  Opprett en konfigurasjons-ISO for HDS-vertene

                                                                                                                                                  Bruk HDS-oppsettverktøyet til å opprette en ISO konfigurasjonsfil for hybriddatasikkerhetsnodene.

                                                                                                                                                  3

                                                                                                                                                  Installer HDS Host OVA

                                                                                                                                                  Opprett en virtuell maskin fra OVA-filen og utfør den første konfigurasjonen, for eksempel nettverksinnstillinger.


                                                                                                                                                   

                                                                                                                                                  Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon har blitt testet med ESXi 6.5. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer den virtuelle hybriddatasikkerhetsmaskinen

                                                                                                                                                  Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.

                                                                                                                                                  5

                                                                                                                                                  Last opp og monter HDS-konfigurasjons-ISO

                                                                                                                                                  Konfigurer den virtuelle maskinen fra ISO konfigurasjonsfil du opprettet med HDS-installasjonsverktøyet.

                                                                                                                                                  6

                                                                                                                                                  Konfigurere HDS-noden for proxy-integrasjon

                                                                                                                                                  Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du proxy-typen du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig.

                                                                                                                                                  7

                                                                                                                                                  Registrer den første noden i klyngen

                                                                                                                                                  Registrer den virtuelle maskinen med Cisco Webex skyen som en hybrid datasikkerhetsnode.

                                                                                                                                                  8

                                                                                                                                                  Opprett og registrer flere noder

                                                                                                                                                  Fullfør klyngeoppsettet.

                                                                                                                                                  9

                                                                                                                                                  Kjør en prøveversjon og gå til produksjon (neste kapittel)

                                                                                                                                                  Frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.

                                                                                                                                                  Last ned installasjonsfiler

                                                                                                                                                  I denne oppgaven laster du ned en OVA-fil til maskinen din (ikke til serverne du konfigurerer som hybriddatasikkerhetsnoder). Du bruker denne filen senere i installasjonsprosessen.
                                                                                                                                                  1

                                                                                                                                                  Logg påhttps://admin.webex.com , og klikk deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Finn Hybrid Data Security-kortet under Hybridtjenester, og klikk deretter på Konfigurer .

                                                                                                                                                  Hvis kortet er deaktivert eller du ikke ser det, kontakter du kontoteamet ditt eller partnerorganisasjonen din. Gi dem kontonummeret ditt, og be om å aktivere organisasjonen din for Hybrid Data Security. Hvis du vil finne kontonummeret, klikker du på tannhjulet øverst til høyre, ved siden av organisasjonsnavnet.


                                                                                                                                                   

                                                                                                                                                  Du kan også laste ned OVA når som helst fra Hjelp delen om Innstillinger side. På Hybrid Data Security-kortet klikker du på Rediger innstillinger for å åpne siden. Deretter klikker du Last ned programvare for hybrid datasikkerhet i Hjelp delen.


                                                                                                                                                   

                                                                                                                                                  Eldre versjoner av programvarepakken (OVA) vil ikke være kompatible med de nyeste oppgraderingene av Hybrid Data Security. Dette kan føre til problemer under oppgradering av applikasjonen. Pass på at du laster ned den nyeste versjonen av OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Velg Nei for å indikere at du ikke har satt opp noden ennå, og klikk deretter på Neste .

                                                                                                                                                  Nedlastingen av OVA-filen begynner automatisk. Lagre filen et sted på maskinen.
                                                                                                                                                  4

                                                                                                                                                  Du kan også klikke på Åpne Distribusjonsveiledning for å sjekke om det finnes en nyere versjon av denne veiledningen.

                                                                                                                                                  Opprett en konfigurasjons-ISO for HDS-vertene

                                                                                                                                                  Konfigurasjonsprosessen for Hybrid Data Security oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere Hybrid Data Security-verten.

                                                                                                                                                  Før du starter

                                                                                                                                                  • Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.

                                                                                                                                                    Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariabler når du henter frem Docker-beholderen i trinn 5 . Denne tabellen viser noen mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uten autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uten autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen når du gjør konfigurasjonsendringer, for eksempel disse:

                                                                                                                                                    • Databaselegitimasjon

                                                                                                                                                    • Sertifikatoppdateringer

                                                                                                                                                    • Endringer i retningslinjene for autorisasjon

                                                                                                                                                  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du PostgreSQL- eller SQL Server-distribusjonen for TLS.

                                                                                                                                                  1

                                                                                                                                                  På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt:

                                                                                                                                                  I vanlige miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dette trinnet rydder opp i tidligere bilder av HDS-oppsettverktøyet. Hvis det ikke finnes noen tidligere bilder, returnerer den en feil som du kan ignorere.

                                                                                                                                                  2

                                                                                                                                                  Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Når du blir bedt om passord, skriver du inn denne hashen:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Last ned det nyeste stabile bildet for miljøet ditt:

                                                                                                                                                  I vanlige miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:

                                                                                                                                                  • I vanlige miljøer uten proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanlige miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanlige miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljøer uten en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080».

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Installasjonsverktøyet støtter ikke tilkobling til lokal vert gjennom http://localvert:8080 . Brukhttp://127.0.0.1:8080 for å koble til lokal vert.

                                                                                                                                                  Bruk en nettleser til å gå til den lokale verten, http://127.0.0.1:8080, og angi brukernavn for kundeadministrator for Control Hub ved ledeteksten.

                                                                                                                                                  Verktøyet bruker denne første oppføringen i brukernavnet til å angi riktig miljø for den kontoen. Verktøyet viser deretter standard påloggingsmelding.

                                                                                                                                                  7

                                                                                                                                                  Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Control Hub-kundeadministratoren, og klikker deretter på Logg inn for å gi tilgang til de nødvendige tjenestene for Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  På oversiktssiden for installasjonsverktøy klikker du på Kom i gang .

                                                                                                                                                  9

                                                                                                                                                  ISO-import side, har du disse alternativene:

                                                                                                                                                  • Nei –Hvis du oppretter din første HDS-node, har du ingen ISO-fil å laste opp.
                                                                                                                                                  • Ja –Hvis du allerede har opprettet HDS-noder, velger du ISO-filen i nettleseren og laster den opp.
                                                                                                                                                  10

                                                                                                                                                  Kontroller at X.509-sertifikatet oppfyller kravene i Krav til X.509-sertifikater .

                                                                                                                                                  • Hvis du aldri har lastet opp et sertifikat før, laster du opp X.509-sertifikatet, skriver inn passordet og klikker Fortsett .
                                                                                                                                                  • Hvis sertifikatet er OK, klikker du på Fortsett .
                                                                                                                                                  • Hvis sertifikatet er utløpt eller du vil erstatte det, velger du Nei for Fortsette å bruke HDS sertifikatkjede og privat nøkkel fra tidligere ISO? . Last opp et nytt X.509-sertifikat, angi passordet og klikk Fortsett .
                                                                                                                                                  11

                                                                                                                                                  Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret:

                                                                                                                                                  1. Velg din Databasetype ( PostgreSQL eller Microsoft SQL Server ).

                                                                                                                                                    Hvis du velger Microsoft SQL Server , får du et autentiseringstype -felt.

                                                                                                                                                  2. ( Microsoft SQL Server bare) Velg din autentiseringstype :

                                                                                                                                                    • Grunnleggende autentisering : Du trenger et lokalt SQL Server- kontonavn i Brukernavn felt.

                                                                                                                                                    • Windows-autentisering : Du trenger en Windows-konto i formatet username@DOMAIN i Brukernavn felt.

                                                                                                                                                  3. Angi databaseserver i skjemaet <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Eksempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan bruke en IP-adresse til grunnleggende autentisering hvis nodene ikke kan bruke DNS til å løse vertsnavnet.

                                                                                                                                                    Hvis du bruker Windows-godkjenning, må du angi et fullstendig kvalifisert domenenavn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Skriv inn Databasenavn .

                                                                                                                                                  5. Skriv inn Brukernavn og Passord til en bruker med alle rettigheter i nøkkellagringsdatabasen.

                                                                                                                                                  12

                                                                                                                                                  Velg en Tilkoblingsmodus for TLS-database :

                                                                                                                                                  Modus

                                                                                                                                                  Beskrivelse

                                                                                                                                                  Foretrekker TLS (standardvalg)

                                                                                                                                                  HDS-noder krever ikke TLS for å koble til databaseserver. Hvis du aktiverer TLS på databaseserver, forsøker nodene en kryptert tilkobling.

                                                                                                                                                  Krev TLS

                                                                                                                                                  HDS-noder kobles bare til hvis databaseserver kan forhandle TLS.

                                                                                                                                                  Krev TLS og bekreft sertifikatunderskriver


                                                                                                                                                   

                                                                                                                                                  Denne modusen er ikke aktuelt for SQL Server-databaser.

                                                                                                                                                  • HDS-noder kobles bare til hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Etter at du har opprettet en TLS-tilkobling, sammenligner noden underskriveren av sertifikatet fra databaseserver med sertifiseringsinstansen i rotsertifikat for database . Hvis de ikke samsvarer, avbryter noden tilkoblingen.

                                                                                                                                                  Bruk rotsertifikat for database kontrollen under rullegardinlisten for å laste opp rotsertifikat for dette alternativet.

                                                                                                                                                  Krev TLS og bekreft sertifikatunderskriver og vertsnavn

                                                                                                                                                  • HDS-noder kobles bare til hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Etter at du har opprettet en TLS-tilkobling, sammenligner noden underskriveren av sertifikatet fra databaseserver med sertifiseringsinstansen i rotsertifikat for database . Hvis de ikke samsvarer, avbryter noden tilkoblingen.

                                                                                                                                                  • Nodene bekrefter også at vertsnavnet i serversertifikat samsvarer med vertsnavnet i Databasevert og port felt. Navnene må samsvare nøyaktig, ellers avbryter noden tilkoblingen.

                                                                                                                                                  Bruk rotsertifikat for database kontrollen under rullegardinlisten for å laste opp rotsertifikat for dette alternativet.

                                                                                                                                                  Når du laster opp rotsertifikat (om nødvendig), og klikker Fortsett tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserver. Verktøyet bekrefter også sertifikatunderskriveren og vertsnavnet, hvis det er aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan det hende at HDS-nodene kan opprette TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurer Syslogd-serveren på siden Systemlogger:

                                                                                                                                                  1. Angi nettadressen til syslog-serveren.

                                                                                                                                                    Hvis serveren ikke kan DNS-løses fra nodene for HDS-klyngen, bruker du en IP-adresse i URL-adressen.

                                                                                                                                                    Eksempel:
                                                                                                                                                    udp://10.92.43.23:514 angir logging til Syslogd-vert 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Hvis du konfigurerer serveren til å bruke TLS-kryptering, kontrollerer du Er syslog-serveren din konfigurert for SSL-kryptering? .

                                                                                                                                                    Hvis du merker av for denne avmerkingsboks, må du kontrollere at du skriver inn en TCP-URL som for eksempel tcp://10.92.43.23:514.

                                                                                                                                                  3. Fra Velg avslutning av syslog-oppføring velger du riktig innstilling for ISO-filen: Velg eller Ny linje brukes for Graylog og Rsyslog TCP

                                                                                                                                                    • Nullbyte – \x00

                                                                                                                                                    • Ny linje – \n – Velg dette valget for Graylog og Rsyslog TCP.

                                                                                                                                                  4. Klikk på Fortsett.

                                                                                                                                                  14

                                                                                                                                                  (Valgfritt) Du kan endre standardverdi for noen databasetilkoblingsparametere i Avanserte innstillinger . Vanligvis er denne parameteren den eneste du kanskje vil endre:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klikk på Fortsett Tilbakestill passordet for tjenestekontoer skjermen.

                                                                                                                                                  Passord for tjenestekontoer har en levetid på ni måneder. Bruk denne skjermen når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem for å ugyldiggjøre tidligere ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klikk på Last ned ISO-fil . Lagre filen på et sted som er lett å finne.

                                                                                                                                                  17

                                                                                                                                                  Ta en sikkerhetskopi av ISO-filen på det lokale systemet.

                                                                                                                                                  Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer.

                                                                                                                                                  18

                                                                                                                                                  Hvis du vil avslutte konfigureringsverktøyet, skriver du inn CTRL+C.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                   

                                                                                                                                                  Vi har aldri en kopi av denne nøkkelen, og kan ikke hjelpe hvis du mister den.

                                                                                                                                                  Installer HDS Host OVA

                                                                                                                                                  Bruk denne fremgangsmåten til å opprette en virtuell maskin fra OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten.

                                                                                                                                                  2

                                                                                                                                                  Velg Fil > Distribuer OVF-mal .

                                                                                                                                                  3

                                                                                                                                                  Angi plasseringen av OVA-filen du lastet ned tidligere i veiviseren, og klikk deretter på Neste .

                                                                                                                                                  4

                                                                                                                                                  Velg et navn og en mappe side, skriver du inn en Navn på virtuell maskin for noden (for eksempel «HDS_ Node_ 1"), velg et sted der nodedistribusjonen for den virtuell maskin kan ligge, og klikk deretter Neste .

                                                                                                                                                  5

                                                                                                                                                  Velg en databehandlingsressurs -siden, velg måldataressursen, og klikk deretter Neste .

                                                                                                                                                  Det kjøres en valideringskontroll. Når den er fullført, vises maldetaljene.

                                                                                                                                                  6

                                                                                                                                                  Kontroller maldetaljene, og klikk deretter på Neste .

                                                                                                                                                  7

                                                                                                                                                  Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon side, klikk 4 CPUer og klikk deretter Neste .

                                                                                                                                                  8

                                                                                                                                                  Velg lagring side, klikk Neste for å godta standard diskformat og retningslinjer for VM-lagring.

                                                                                                                                                  9

                                                                                                                                                  Velg nettverk -siden, velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til den virtuelle maskinen.

                                                                                                                                                  10

                                                                                                                                                  Tilpass mal side, konfigurerer du følgende nettverksinnstillinger:

                                                                                                                                                  • Vertsnavn – Angi FQDN (vertsnavn og domene) eller vertsnavn med ett ord for noden.

                                                                                                                                                     
                                                                                                                                                    • Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet.

                                                                                                                                                    • Hvis du vil sikre en vellykket registrering til skyen, bruker du bare små tegn i FQDN eller vertsnavnet du angir for noden. Store og små bokstaver støttes ikke for øyeblikket.

                                                                                                                                                    • Den totale lengden på FQDN kan ikke overstige 64 tegn.

                                                                                                                                                  • IP-adresse — Angi IP-adresse for det interne grensesnittet til noden.

                                                                                                                                                     

                                                                                                                                                    Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke.

                                                                                                                                                  • Maske – Angi nettverksmaske med punktum og desimal. For eksempel 255.255.255.0 .
                                                                                                                                                  • Gateway – Angi IP-adresse for gatewayen . En gateway er en nettverksnode som fungerer som et tilgangspunkt til et annet nettverk.
                                                                                                                                                  • DNS-servere – Angi en kommadelt liste over DNS-servere som håndterer oversettelse av domenenavn til numeriske IP-adresser. (Opptil fire DNS-oppføringer er tillatt.)
                                                                                                                                                  • NTP-servere – Angi organisasjonens NTP-server eller en annen ekstern NTP-server som kan brukes i organisasjonen. Standard NTP-servere fungerer kanskje ikke for alle bedrifter. Du kan også bruke en kommadelt liste til å angi flere NTP-servere.
                                                                                                                                                  • Distribuer alle nodene på samme delnett eller VLAN, slik at alle nodene i en klynge er tilgjengelige fra klienter i nettverket for administrative formål.

                                                                                                                                                  Hvis du foretrekker det, kan du hoppe over konfigurasjonen av nettverksinnstillinger og følge trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen for å konfigurere innstillingene fra nodekonsollen.


                                                                                                                                                   

                                                                                                                                                  Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon har blitt testet med ESXi 6.5. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

                                                                                                                                                  11

                                                                                                                                                  Høyreklikk på den virtuelle noden, og velg deretter Strøm > Strøm på .

                                                                                                                                                  Hybrid Data Security-programvaren installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden.

                                                                                                                                                  Feilsøkingstips

                                                                                                                                                  Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen ved første oppstart, der du ikke kan logge på.

                                                                                                                                                  Konfigurer den virtuelle hybriddatasikkerhetsmaskinen

                                                                                                                                                  Bruk denne fremgangsmåten til å logge på VM-konsollen for Hybrid Data Security-noden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.

                                                                                                                                                  1

                                                                                                                                                  I VMware vSphere-klienten velger du den virtuelle hybriddatasikkerhetsnoden og velger Konsoll -fanen.

                                                                                                                                                  Den virtuelle maskinen starter opp, og det vises en påloggingsmelding. Hvis påloggingsmeldingen ikke vises, trykker du på Gå inn .
                                                                                                                                                  2

                                                                                                                                                  Bruk følgende standard påloggingsinformasjon og passord for å logge på og endre legitimasjonen:

                                                                                                                                                  1. Innlogging: admin

                                                                                                                                                  2. Passord: cisco

                                                                                                                                                  Siden du logger på den virtuelle maskinen for første gang, må du endre administrator .

                                                                                                                                                  3

                                                                                                                                                  Hvis du allerede har konfigurert nettverksinnstillinger i Installer HDS Host OVA , hopper du over resten av denne prosedyren. Ellers velger du på hovedmeny Rediger konfigurasjon alternativet.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke.

                                                                                                                                                  5

                                                                                                                                                  (Valgfritt) Endre vertsnavnet, domenet eller NTP-server(e) om nødvendig for å samsvare med nettverkspolicyen din.

                                                                                                                                                  Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet.

                                                                                                                                                  6

                                                                                                                                                  Lagre nettverkskonfigurasjon og start den virtuelle maskinen på nytt slik at endringene trer i kraft.

                                                                                                                                                  Last opp og monter HDS-konfigurasjons-ISO

                                                                                                                                                  Bruk denne fremgangsmåten til å konfigurere den virtuell maskin fra ISO-filen du opprettet med HDS-installasjonsverktøyet.

                                                                                                                                                  Før du starter

                                                                                                                                                  Siden ISO-filen inneholder hovednøkkelen, bør den bare vises på en «trenger å vite»-basis, for tilgang for de virtuelle hybriddatasikkerhets-ene og alle administratorer som måtte trenge å gjøre endringer. Kontroller at bare disse administratorene har tilgang til datalageret.

                                                                                                                                                  1

                                                                                                                                                  Last opp ISO-filen fra datamaskinen:

                                                                                                                                                  1. I venstre navigasjonspanel i VMware vSphere-klienten klikker du på ESXi-serveren.

                                                                                                                                                  2. I maskinvarelisten i kategorien Konfigurasjon klikker du på Oppbevaring .

                                                                                                                                                  3. I Datalager-listen høyreklikk du på datalageret for de virtuelle maskinene og klikker Bla gjennom datalager .

                                                                                                                                                  4. Klikk på Last opp filer-ikonet, og klikk deretter på Last opp fil .

                                                                                                                                                  5. Bla til stedet der du lastet ned ISO-filen på datamaskinen, og klikk på Åpne .

                                                                                                                                                  6. Klikk på Ja for å godta advarselen om opplasting/nedlasting, og lukke dialogboksen for datalager.

                                                                                                                                                  2

                                                                                                                                                  Monter ISO-filen:

                                                                                                                                                  1. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

                                                                                                                                                  2. Klikk på OK for å godta advarselen om begrensede redigeringsalternativer.

                                                                                                                                                  3. Klikk CD/DVD Drive 1, velger du alternativet for å montere fra en ISO-fil for datalager, og går til stedet der du lastet opp ISO-konfigurasjonsfilen.

                                                                                                                                                  4. Sjekk Tilkoblet og Koble til når strømmen er på .

                                                                                                                                                  5. Lagre endringene og start den virtuell maskin på nytt.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Hvis IT-retningslinjene krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene dine har registrert konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.

                                                                                                                                                  Konfigurere HDS-noden for proxy-integrasjon

                                                                                                                                                  Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybriddatasikkerhet. Hvis du velger en gjennomsiktig inspeksjonsproxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet og feilsøke eventuelle problemer.

                                                                                                                                                  Før du starter

                                                                                                                                                  1

                                                                                                                                                  Angi URL-adressen til oppsett av HDS-node https://[HDS Node IP or FQDN]/setup i en nettleser skriver du inn administratorlegitimasjonen du konfigurerte for noden, og klikker deretter Logg på .

                                                                                                                                                  2

                                                                                                                                                  Gå til Klareringslager og proxy, og velg deretter et alternativ:

                                                                                                                                                  • Ingen proxy – Standardalternativet før du integrerer en proxy. Ingen sertifikatoppdatering er nødvendig.
                                                                                                                                                  • Gjennomsiktig ikke-inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse, og bør ikke trenge endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
                                                                                                                                                  • Gjennomsiktig inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTPS-konfigurasjon er nødvendig for distribusjonen av hybriddatasikkerhet, men HDS-nodene trenger et rotsertifikat slik at de klarerer proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer om hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
                                                                                                                                                  • Eksplisitt proxy – Med eksplisitt proxy forteller du klienten (HDS-noder) hvilken proxy-server som skal brukes, og dette alternativet støtter flere godkjenningstyper. Når du har valgt dette alternativet, må du angi følgende informasjon:
                                                                                                                                                    1. Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

                                                                                                                                                    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

                                                                                                                                                    3. Proxy-protokoll – Velg http (viser og kontrollerer alle forespørsler som mottas fra klienten) eller https (gir en kanal til serveren, og klienten mottar og validerer serverens sertifikat). Velg et alternativ basert på hva proxy-serveren støtter.

                                                                                                                                                    4. Godkjenningstype – Velg blant følgende godkjenningstyper:

                                                                                                                                                      • Ingen – Ingen ytterligere godkjenning er nødvendig.

                                                                                                                                                        Tilgjengelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                      • Grunnleggende – Brukes for en HTTP-brukeragent til å angi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

                                                                                                                                                        Tilgjengelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                        Hvis du velger dette alternativet, må du også skrive inn brukernavn og passord.

                                                                                                                                                      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

                                                                                                                                                        Bare tilgjengelig for HTTPS-proxyer.

                                                                                                                                                        Hvis du velger dette alternativet, må du også skrive inn brukernavn og passord.

                                                                                                                                                  Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en HTTP-eksplisitt proxy med enkel godkjenning eller en eksplisitt HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen.

                                                                                                                                                  Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på vinkeltegnpilen ved navnet på sertifikatutstederen for å få flere detaljer, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt.

                                                                                                                                                  4

                                                                                                                                                  Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen.

                                                                                                                                                  Hvis tilkoblingstesten mislykkes, ser du en feilmelding som viser årsaken og hvordan du kan løse problemet.

                                                                                                                                                  Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne betingelsen forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene, og deretter ser du Slå av blokkert ekstern DNS-oppløsningsmodus .

                                                                                                                                                  5

                                                                                                                                                  Etter at tilkoblingstesten blir bestått, kun for eksplisitt proxy satt til https, setter du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen trer i kraft etter 15 sekunder.

                                                                                                                                                  6

                                                                                                                                                  Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en HTTP-eksplisitt proxy), les ledeteksten, og klikk deretter på Installer hvis du er klar.

                                                                                                                                                  Noden starter på nytt i løpet av noen få minutter.

                                                                                                                                                  7

                                                                                                                                                  Når noden har startet på nytt, logger du på igjen om nødvendig, og deretter åpner du Oversikt-siden for å kontrollere tilkoblingskontrollene for å sikre at alle har grønn status.

                                                                                                                                                  Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det oppstår tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen.

                                                                                                                                                  Registrer den første noden i klyngen

                                                                                                                                                  Denne oppgaven tar den generelle noden du opprettet i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen , registrerer noden med Webex-skyen og gjør den om til en hybrid datasikkerhetsnode.

                                                                                                                                                  Når du registrerer den første noden, oppretter du en klynge som noden er tilordnet. En klynge inneholder én eller flere noder distribuert for å gi redundans.

                                                                                                                                                  Før du starter

                                                                                                                                                  • Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.

                                                                                                                                                  • Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Logg på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Fra menyen på venstre side av skjermen velger du Tjenester .

                                                                                                                                                  3

                                                                                                                                                  I delen Hybridtjenester finner du Hybrid Data Security og klikker på Konfigurer .

                                                                                                                                                  Siden Registrer hybrid node for datasikkerhet vises.
                                                                                                                                                  4

                                                                                                                                                  Velg Ja for å indikere at du har satt opp noden og er klar til å registrere den, og klikk deretter på Neste .

                                                                                                                                                  5

                                                                                                                                                  I det første feltet skriver du inn et navn på klyngen du vil tilordne Hybrid Data Security-noden til.

                                                                                                                                                  Vi anbefaler at du gir navn til en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: «San Francisco» eller «New York» eller «Dallas»

                                                                                                                                                  6

                                                                                                                                                  I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste .

                                                                                                                                                  Denne IP-adresse eller FQDN må samsvare med IP-adresse eller vertsnavnet og domenet du brukte i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen .

                                                                                                                                                  Det vises en melding som angir at du kan registrere noden til Webex.
                                                                                                                                                  7

                                                                                                                                                  Klikk på Gå til Node .

                                                                                                                                                  8

                                                                                                                                                  Klikk på Fortsett i advarselsmelding.

                                                                                                                                                  Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til Webex-organisasjonen din for å få tilgang til noden.
                                                                                                                                                  9

                                                                                                                                                  Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett .

                                                                                                                                                  Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
                                                                                                                                                  10

                                                                                                                                                  Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden.

                                                                                                                                                  Hybrid datasikkerhet side, vises den nye klyngen som inneholder noden du registrerte. Noden vil automatisk laste ned den nyeste programvaren fra skyen.

                                                                                                                                                  Opprett og registrer flere noder

                                                                                                                                                  Hvis du vil legge til flere noder i klyngen, oppretter du ganske enkelt flere virtuelle datamaskiner og monterer den samme ISO-konfigurasjonsfilen, og deretter registrerer du noden. Vi anbefaler at du har minst 3 noder.

                                                                                                                                                   

                                                                                                                                                  På dette tidspunktet er de virtuelle sikkerhetskopiene-ene du opprettet i Fullfør forutsetningene for hybrid datasikkerhet er standby-verter som bare brukes i tilfelle katastrofegjenoppretting; de er ikke registrert i systemet før da. Hvis du vil ha mer informasjon, se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus .

                                                                                                                                                  Før du starter

                                                                                                                                                  • Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.

                                                                                                                                                  • Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA .

                                                                                                                                                  2

                                                                                                                                                  Konfigurer den første konfigurasjonen på den nye virtuelle maskinen, og gjenta trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen .

                                                                                                                                                  3

                                                                                                                                                  Gjenta trinnene i den nye VM-en Last opp og monter HDS-konfigurasjons-ISO .

                                                                                                                                                  4

                                                                                                                                                  Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrering etter behov for den nye noden.

                                                                                                                                                  5

                                                                                                                                                  Registrer noden.

                                                                                                                                                  1. Ihttps://admin.webex.com , velger du Tjenester fra menyen på venstre side av skjermen.

                                                                                                                                                  2. I delen Hybridtjenester finner du Hybrid Data Security-kortet og klikker på Ressurser .

                                                                                                                                                    Siden for hybriddatasikkerhetsressurser vises.
                                                                                                                                                  3. Klikk på Legg til ressurs .

                                                                                                                                                  4. I det første feltet velger du navnet på den eksisterende klyngen.

                                                                                                                                                  5. I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste .

                                                                                                                                                    Det vises en melding som angir at du kan registrere noden i Webex-skyen.
                                                                                                                                                  6. Klikk på Gå til Node .

                                                                                                                                                    Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til organisasjonen din for å få tilgang til noden.
                                                                                                                                                  7. Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett .

                                                                                                                                                    Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
                                                                                                                                                  8. Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden.

                                                                                                                                                  Noden din er registrert. Merk at frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Kjør en prøveversjon og gå til produksjon (neste kapittel)
                                                                                                                                                  Kjør en prøveversjon og gå til produksjon

                                                                                                                                                  Oppgaveflyt fra prøveversjon til produksjon

                                                                                                                                                  Når du har konfigurert en Hybrid Data Security-klynge, kan du starte en pilot, legge til brukere i den og begynne å bruke den til testing og bekreftelse av distribusjonen som forberedelse til overgang til produksjon.

                                                                                                                                                  1

                                                                                                                                                  Hvis det er aktuelt, synkroniserer du HdsTrialGroup gruppeobjekt.

                                                                                                                                                  Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktiver prøveversjon

                                                                                                                                                  Start en prøveversjon. Frem til du gjør denne oppgaven, genererer nodene en alarm som indikerer at tjenesten ennå ikke er aktivert.

                                                                                                                                                  3

                                                                                                                                                  Test hybriddistribusjonen av datasikkerhet

                                                                                                                                                  Kontroller at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.

                                                                                                                                                  4

                                                                                                                                                  Overvåke helse for hybrid datasikkerhet

                                                                                                                                                  Sjekk status, og konfigurer e-postvarsler for alarmer.

                                                                                                                                                  5

                                                                                                                                                  Legg til eller fjern brukere fra prøveversjonen

                                                                                                                                                  6

                                                                                                                                                  Fullfør prøveperioden med én av følgende handlinger:

                                                                                                                                                  Aktiver prøveversjon

                                                                                                                                                  Før du starter

                                                                                                                                                  Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Logg påhttps://admin.webex.com , og velg deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security klikker du på Innstillinger .

                                                                                                                                                  3

                                                                                                                                                  I delen Tjenestestatus klikker du på Start prøveversjonen .

                                                                                                                                                  Tjenestestatusen endres til prøveversjonsmodus.
                                                                                                                                                  4

                                                                                                                                                  Klikk på Legg til brukere og angi e-postadresse til én eller flere brukere for å prøve å bruke Hybrid Data Security-nodene for kryptering og indekseringstjenester.

                                                                                                                                                  (Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory til å administrere prøvegruppen, HdsTrialGroup.)

                                                                                                                                                  Test hybriddistribusjonen av datasikkerhet

                                                                                                                                                  Bruk denne fremgangsmåten til å teste krypteringsscenarier med Hybrid Data Security.

                                                                                                                                                  Før du starter

                                                                                                                                                  • Konfigurer Hybrid Data Security-distribusjonen.

                                                                                                                                                  • Aktiver prøveversjonen, og legg til flere prøveversjonsbrukere.

                                                                                                                                                  • Kontroller at du har tilgang til syslog for å bekrefte at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.

                                                                                                                                                  1

                                                                                                                                                  Taster for et gitt område angis av oppretteren av området. Logg på Webex-appen som én av pilotbrukerne, og opprett deretter et område og inviter minst én pilotbruker og én ikke-pilotbruker.


                                                                                                                                                   

                                                                                                                                                  Hvis du deaktiverer Hybrid Data Security-distribusjonen, er ikke innhold i områder som pilotbrukere oppretter lenger tilgjengelig når de klientbufrede kopiene av krypteringsnøklene er erstattet.

                                                                                                                                                  2

                                                                                                                                                  Send meldinger til det nye området.

                                                                                                                                                  3

                                                                                                                                                  Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til Hybrid Data Security-distribusjonen.

                                                                                                                                                  1. Hvis du vil se etter en bruker som først oppretter en sikker kanal til KMS, filtrerer du på kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du bør finne en oppføring som følgende (identifikatorer forkortet for lesbarhet):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Hvis du vil se etter en bruker som ber om en eksisterende nøkkel fra KMS, filtrerer du på kms.data.method=retrieve og kms.data.type=KEY:

                                                                                                                                                    Du bør finne en oppføring som:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Hvis du vil se etter en bruker som ber om å opprette en ny KMS-nøkkel, filtrerer du på kms.data.method=create og kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bør finne en oppføring som:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Hvis du vil se etter en bruker som ber om opprettelse av et nytt KMS-ressursobjekt (KRO) når et område eller en annen beskyttet ressurs opprettes, filtrerer du på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bør finne en oppføring som:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Overvåke helse for hybrid datasikkerhet

                                                                                                                                                  En statusindikator i Control Hub viser deg om alt er bra med Hybrid Data Security-distribusjonen. Registrer deg for e-postvarsler for mer proaktiv varsling. Du blir varslet når det er tjenestepåvirkende alarmer eller programvareoppgraderinger.
                                                                                                                                                  1

                                                                                                                                                  I Kontrollhub , velger du Tjenester fra menyen på venstre side av skjermen.

                                                                                                                                                  2

                                                                                                                                                  I delen Hybridtjenester finner du Hybrid Data Security og klikker på Innstillinger .

                                                                                                                                                  Siden Innstillinger for hybrid datasikkerhet vises.
                                                                                                                                                  3

                                                                                                                                                  I delen E-postvarsler skriver du inn én eller flere e-postadresser atskilt med komma, og trykker på Gå inn .

                                                                                                                                                  Legg til eller fjern brukere fra prøveversjonen

                                                                                                                                                  Når du har aktivert en prøveversjon og lagt til det første settet med prøveversjonsbrukere, kan du legge til eller fjerne prøveversjonsmedlemmer når som helst mens prøveversjonen er aktiv.

                                                                                                                                                  Hvis du fjerner en bruker fra prøveversjonen, vil brukerens klient be om å opprette nøkler og nøkler fra KMS-skyen i stedet for KMS-en din. Hvis klienten trenger en nøkkel som er lagret på KMS-en, vil KMS-en i skyen hente den på brukerens vegne.

                                                                                                                                                  Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory (i stedet for denne prosedyren) til å administrere prøvegruppen, HdsTrialGroup; du kan vise gruppemedlemmene i Control Hub, men kan ikke legge til eller fjerne dem.

                                                                                                                                                  1

                                                                                                                                                  Logg på Control Hub, og velg deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security klikker du på Innstillinger .

                                                                                                                                                  3

                                                                                                                                                  I delen Prøvemodus i området Tjenestestatus klikker du på Legg til brukere , eller klikk vise og redigere for å fjerne brukere fra prøveversjonen.

                                                                                                                                                  4

                                                                                                                                                  Skriv inn e-postadresse til én eller flere brukere som skal legges til, eller klikk på X av en bruker-ID for å fjerne brukeren fra prøveversjonen. Klikk deretter på Lagre.

                                                                                                                                                  Gå fra prøveversjon til produksjon

                                                                                                                                                  Når du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, kan du gå over til produksjon. Når du går over til produksjon, vil alle brukere i organisasjonen bruke det lokale Hybrid Data Security-domenet for krypteringsnøkler og andre sikkerhetstjenester. Du kan ikke gå tilbake til prøvemodus fra produksjon med mindre du deaktiverer tjenesten som en del av katastrofegjenoppretting. Reaktivering av tjenesten krever at du konfigurerer en ny prøveversjon.
                                                                                                                                                  1

                                                                                                                                                  Logg på Control Hub, og velg deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security klikker du på Innstillinger .

                                                                                                                                                  3

                                                                                                                                                  I delen Tjenestestatus klikker du på Flytt til produksjon .

                                                                                                                                                  4

                                                                                                                                                  Bekreft at du vil flytte alle brukerne til produksjon.

                                                                                                                                                  Avslutt prøveversjonen uten å gå til produksjon

                                                                                                                                                  Hvis du i løpet av prøveperioden bestemmer deg for ikke å fortsette med distribusjonen av Hybrid Data Security, kan du deaktivere Hybrid Data Security, som avslutter prøveversjonen og flytter prøveversjonsbrukerne tilbake til skydatasikkerhetstjenestene. Prøveversjonsbrukerne mister tilgangen til dataene som ble kryptert under prøveversjonen.
                                                                                                                                                  1

                                                                                                                                                  Logg på Control Hub, og velg deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security klikker du på Innstillinger .

                                                                                                                                                  3

                                                                                                                                                  I Deaktiver-delen klikker du på Deaktiver .

                                                                                                                                                  4

                                                                                                                                                  Bekreft at du vil deaktivere tjenesten og avslutte prøveversjonen.

                                                                                                                                                  Administrer HDS-distribusjonen

                                                                                                                                                  Behandle HDS-distribusjon

                                                                                                                                                  Bruk oppgavene som er beskrevet her, til å administrere Hybrid Data Security-distribusjonen.

                                                                                                                                                  Angi tidsplan for klyngeoppgradering

                                                                                                                                                  Programvareoppgraderinger for Hybrid Data Security gjøres automatisk på klyngenivå, noe som sikrer at alle noder alltid kjører den samme programvareversjon. Oppgraderinger utføres i henhold til oppgraderingsplanen for klyngen. Når en programvareoppgradering blir tilgjengelig, har du muligheten til å oppgradere klyngen manuelt før planlagt oppgraderingstid. Du kan angi en bestemt oppgraderingsplan eller bruke standardplanen for 03:00 daglig USA: Amerika/Los Angeles. Du kan også velge å utsette en kommende oppgradering om nødvendig.

                                                                                                                                                  Slik angir du oppgraderingsplanen:

                                                                                                                                                  1

                                                                                                                                                  Logg på Kontrollhub .

                                                                                                                                                  2

                                                                                                                                                  På Oversikt-siden, under Hybridtjenester, velger du Hybrid datasikkerhet .

                                                                                                                                                  3

                                                                                                                                                  Velg klyngen på siden Hybriddatasikkerhetsressurser.

                                                                                                                                                  4

                                                                                                                                                  I Oversikt-panelet til høyre, under Klyngeinnstillinger, velger du klyngenavnet.

                                                                                                                                                  5

                                                                                                                                                  På Innstillinger-siden, under Oppgradering, velger du tid og tidssone for oppgraderingsplanen.

                                                                                                                                                  Merk: Under tidssone vises dato og klokkeslett for neste tilgjengelige oppgradering. Du kan om nødvendig utsette oppgraderingen til neste dag ved å klikke på Utsette .

                                                                                                                                                  Endre nodekonfigurasjonen

                                                                                                                                                  Noen ganger kan det hende at du må endre konfigurasjonen for Hybrid Data Security-noden av en årsak som:
                                                                                                                                                  • Endring av x.509-sertifikater på grunn av utløpsdato eller andre årsaker.


                                                                                                                                                     

                                                                                                                                                    Vi støtter ikke endring av CN- domenenavn for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.

                                                                                                                                                  • Oppdaterer databaseinnstillinger for å endre til en replika av PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt vei. Hvis du vil bytte databasemiljø, starter du en ny distribusjon av Hybrid Data Security.

                                                                                                                                                  • Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.

                                                                                                                                                  Av sikkerhetsmessige årsaker bruker Hybriddata-sikkerhet passord som har en levetid på ni måneder på tjenestekontoer. HDS-installasjonsverktøyet genererer disse passordene, og du distribuerer dem til hver av HDS-nodene dine som en del av ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløp, mottar du et «Varsel om utløp av passord» fra Webex-teamet, der du blir bedt om å tilbakestille passordet for maskinkontoen. (E-posten inneholder teksten «Bruk maskinkontoens API til å oppdatere passordet.») Hvis passordene ikke er utløpt ennå, gir verktøyet deg to alternativer:

                                                                                                                                                  • Myk tilbakestilling – Det gamle og det nye passordet fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.

                                                                                                                                                  • Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.

                                                                                                                                                  Hvis passordene dine utløper uten en tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.

                                                                                                                                                  Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.

                                                                                                                                                  Før du starter

                                                                                                                                                  • Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.

                                                                                                                                                    Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du henter opp Docker-beholderen i 1.e . Denne tabellen viser noen mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uten autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uten autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO-en inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO-en når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i autorisasjonspolicy.

                                                                                                                                                  1

                                                                                                                                                  Kjør HDS-konfigureringsverktøyet via Docker på en lokal maskin.

                                                                                                                                                  1. På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt:

                                                                                                                                                    I vanlige miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Dette trinnet rydder opp i tidligere bilder av HDS-oppsettverktøyet. Hvis det ikke finnes noen tidligere bilder, returnerer den en feil som du kan ignorere.

                                                                                                                                                  2. Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Når du blir bedt om passord, skriver du inn denne hashen:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Last ned det nyeste stabile bildet for miljøet ditt:

                                                                                                                                                    I vanlige miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Sørg for at du bruker det nyeste installasjonsverktøyet for denne prosedyren. Versjoner av verktøyet som er opprettet før 22. februar 2018, har ikke skjermbildene for tilbakestilling av passord.

                                                                                                                                                  5. Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:

                                                                                                                                                    • I vanlige miljøer uten proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanlige miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanlige miljøer med en HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljøer uten en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080».

                                                                                                                                                  6. Bruk en nettleser til å koble til localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Installasjonsverktøyet støtter ikke tilkobling til lokal vert gjennom http://localvert:8080 . Brukhttp://127.0.0.1:8080 for å koble til lokal vert.

                                                                                                                                                  7. Når du blir bedt om det, skriver du inn påloggingslegitimasjonen til kunden i Cisco Webex Control Hub, og klikker på Godta for å fortsette.

                                                                                                                                                  8. Importer ISO-filen for gjeldende konfigurasjon.

                                                                                                                                                  9. Følg instruksjonene for å fullføre verktøyet og laste ned den oppdaterte filen.

                                                                                                                                                    Hvis du vil avslutte konfigureringsverktøyet, skriver du inn CTRL+C.

                                                                                                                                                  10. Opprett en sikkerhetskopi av den oppdaterte ISO-filen i et annet datasenter.

                                                                                                                                                  2

                                                                                                                                                  Hvis du kun kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den via den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, se Opprett og registrer flere noder .

                                                                                                                                                  1. Installer HDS-verten OVA.

                                                                                                                                                  2. Konfigurer HDS VM.

                                                                                                                                                  3. Monter den oppdaterte konfigurasjonsfilen.

                                                                                                                                                  4. Registrer den nye noden i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  For eksisterende HDS-noder som kjører den eldre konfigurasjonsfil, monterer du ISO-filen. Utfør følgende prosedyre på hver node etter tur, og oppdater hver node før du slår av neste node:

                                                                                                                                                  1. Slå av den virtuelle maskinen.

                                                                                                                                                  2. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

                                                                                                                                                  3. Klikk CD/DVD Drive 1 Klikk på CD/DVD-stasjon 1, velg alternativet for montering fra en ISO-fil, og bla til plasseringen der du lastet ned den nye ISO-konfigurasjonsfilen.

                                                                                                                                                  4. Kontroller Koble til ved strøm på.

                                                                                                                                                  5. Lagre endringene og slå på den virtuelle maskinen.

                                                                                                                                                  4

                                                                                                                                                  Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen.

                                                                                                                                                  Deaktiver blokkert ekstern DNS-oppløsningsmodus

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modusen blokkert ekstern DNS-oppløsning.

                                                                                                                                                  Hvis nodene kan løse offentlige DNS-navn via interne DNS-servere, kan du deaktivere denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.

                                                                                                                                                  Før du starter

                                                                                                                                                  Kontroller at de interne DNS-serverne kan løse offentlige DNS-navn, og at nodene kan kommunisere med dem.
                                                                                                                                                  1

                                                                                                                                                  Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/-oppsett, for eksempel https://192.0.2.0/setup),angi administratorlegitimasjonen du konfigurerte for noden, og klikk deretter på Logg på.

                                                                                                                                                  2

                                                                                                                                                  Gå til Oversikt (standardsiden).

                                                                                                                                                  Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja.

                                                                                                                                                  3

                                                                                                                                                  Gå til siden Klareringslager og proxy.

                                                                                                                                                  4

                                                                                                                                                  Klikk på Kontroller proxy-tilkobling.

                                                                                                                                                  Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og den vil forbli i denne modusen. Ellers, etter at du har startet noden på nytt og gått tilbake til Oversikt-siden, bør Blokkert ekstern DNS-oppløsning settes til Nei.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Gjenta proxy-tilkoblingstesten for hver node i klyngen for hybriddatasikkerhet.

                                                                                                                                                  Fjerne en node

                                                                                                                                                  Bruk denne fremgangsmåten til å fjerne en hybrid datasikkerhetsnode fra Webex-skyen. Når du har fjernet noden fra klyngen, sletter du den virtuell maskin for å forhindre ytterligere tilgang til sikkerhetsdataene dine.
                                                                                                                                                  1

                                                                                                                                                  Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuell maskin.

                                                                                                                                                  2

                                                                                                                                                  Fjern noden:

                                                                                                                                                  1. Logg på Control Hub, og velg deretter Tjenester .

                                                                                                                                                  2. På Hybrid Data Security-kortet klikker du på Vis alle for å vise siden Hybriddatasikkerhetsressurser.

                                                                                                                                                  3. Velg klyngen for å vise oversiktspanelet.

                                                                                                                                                  4. Klikk på Åpne nodeliste .

                                                                                                                                                  5. Velg noden du vil fjerne, i Noder-fanen.

                                                                                                                                                  6. Klikk på Handlinger > Avregistrere node .

                                                                                                                                                  3

                                                                                                                                                  Slett den virtuelle maskinen i vSphere-klienten. (I venstre navigasjonsrute høyreklikk du på den virtuelle maskinen og klikker Slett .)

                                                                                                                                                  Hvis du ikke sletter den virtuelle maskinen, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke den virtuelle maskinen til å få tilgang til sikkerhetsdataene dine.

                                                                                                                                                  Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus

                                                                                                                                                  Den mest kritiske tjenesten Hybrid Data Security-klyngen tilbyr, er opprettelse og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet Hybrid Data Security, rutes nye forespørsler om å opprette nøkkel til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til alle brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.

                                                                                                                                                  Siden klyngen utfører den kritiske funksjonen med å oppgi disse nøklene, er det viktig at klyngen fortsetter å kjøre og at forsvarlige sikkerhetskopier opprettholdes. Tap av Hybrid Data Security-databasen eller av ISO-konfigurasjonen som ble brukt for skjemaet, vil føre til TAP av kundeinnhold som ikke kan gjenopprettes. Følgende fremgangsmåter er obligatoriske for å forhindre slikt tap:

                                                                                                                                                  Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenter blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til datasenter i ventemodus.

                                                                                                                                                  1

                                                                                                                                                  Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger

                                                                                                                                                  3

                                                                                                                                                  Avanserte innstillinger side, legger du til konfigurasjonen nedenfor eller fjerner passiveMode konfigurasjon for å gjøre noden aktiv. Noden kan håndtere trafikk når dette er konfigurert.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne.

                                                                                                                                                  5

                                                                                                                                                  Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer.

                                                                                                                                                  6

                                                                                                                                                  I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. .

                                                                                                                                                  7

                                                                                                                                                  Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.


                                                                                                                                                   

                                                                                                                                                  Sørg for Tilkoblet og Koble til når strømmen er på er kontrollert slik at oppdaterte konfigurasjonsendringer kan tre i kraft etter at nodene er startet.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gjenta prosessen for hver node i datasenter i ventemodus.


                                                                                                                                                   

                                                                                                                                                  Kontroller syslog-utdataene for å bekrefte at nodene til datasenter i ventemodus ikke er i passiv modus. «KMS konfigurert i passiv modus» skal ikke vises i syslogs.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Hvis det primære datasenter blir aktivt igjen etter failover, setter du datasenter i passiv modus på nytt ved å følge trinnene beskrevet i Konfigurere datasenter i ventemodus for katastrofegjenoppretting .

                                                                                                                                                  (Valgfritt) Avmonter ISO etter HDS-konfigurasjon

                                                                                                                                                  Standard HDS-konfigurasjonen kjører med ISO-en montert. Men noen kunder foretrekker å ikke la ISO-filer være kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-noder har plukket opp den nye konfigurasjonen.

                                                                                                                                                  Du bruker fortsatt ISO-filene til å gjøre konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO via installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene dine har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en på nytt med denne prosedyren.

                                                                                                                                                  Før du starter

                                                                                                                                                  Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.

                                                                                                                                                  1

                                                                                                                                                  Avslutt én av HDS-nodene dine.

                                                                                                                                                  2

                                                                                                                                                  I vCenter Server Appliance velger du HDS-noden.

                                                                                                                                                  3

                                                                                                                                                  Velg Rediger innstillinger > CD/DVD-stasjon og fjern merket ISO-fil for datalager .

                                                                                                                                                  4

                                                                                                                                                  Slå på HDS-noden og kontroller at det ikke er noen alarmer på minst 20 minutter.

                                                                                                                                                  5

                                                                                                                                                  Gjenta for hver HDS-node etter tur.

                                                                                                                                                  Feilsøke hybrid datasikkerhet

                                                                                                                                                  Vis varsler og feilsøking

                                                                                                                                                  En Hybrid Data Security-distribusjon anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller hvis klyngen fungerer så sakte at forespørslene tidsavbrudd. Hvis brukere ikke kan nå Hybrid Data Security-klyngen, opplever de følgende symptomer:

                                                                                                                                                  • Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)

                                                                                                                                                  • Meldinger og områdetitler kan ikke dekrypteres for:

                                                                                                                                                    • Nye brukere lagt til i et område (kan ikke hente nøkler)

                                                                                                                                                    • Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)

                                                                                                                                                  • Eksisterende brukere i et område fortsetter å kjøre så lenge klientene deres har en hurtigbuffer for krypteringsnøklene

                                                                                                                                                  Det er viktig at du overvåker Hybrid Data Security-klyngen på riktig måte og adresserer alle varsler umiddelbart for å unngå avbrudd i tjenesten.

                                                                                                                                                  Varsler

                                                                                                                                                  Hvis det er et problem med oppsettet av Hybrid Data Security, viser Control Hub varsler til administrator og sender e-postmeldinger til den konfigurerte e-postadresse. Varslene dekker mange vanlige scenarier.

                                                                                                                                                  Tabell 1. Vanlige problemer og fremgangsmåten for å løse dem

                                                                                                                                                  Varsel

                                                                                                                                                  Handling

                                                                                                                                                  Feil ved tilgang til lokal database.

                                                                                                                                                  Se etter databasefeil eller problemer med det lokale nettverket.

                                                                                                                                                  tilkoblingsfeil til lokal database.

                                                                                                                                                  Kontroller at databaseserver er tilgjengelig, og at riktig påloggingsinformasjon for tjenestekonto ble brukt i nodekonfigurasjonen.

                                                                                                                                                  Tilgangsfeil for skytjeneste.

                                                                                                                                                  Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling .

                                                                                                                                                  Fornyer registrering av skytjeneste.

                                                                                                                                                  Registrering for skytjenester ble avbrutt. Fornyelse av registrering pågår.

                                                                                                                                                  Registrering av skytjeneste ble avbrutt.

                                                                                                                                                  Registreringen til skytjenester ble avsluttet. Tjenesten avsluttes.

                                                                                                                                                  Tjenesten ikke aktivert ennå.

                                                                                                                                                  Aktiver en prøveversjon, eller fullfør flyttingen av prøveversjonen til produksjon.

                                                                                                                                                  Det konfigurerte domenet samsvarer ikke med serversertifikat.

                                                                                                                                                  Kontroller at serversertifikat samsvarer med det konfigurerte domenet for tjenesteaktivering.

                                                                                                                                                  Den mest sannsynlige årsaken er at sertifikatet CN nylig ble endret og nå er forskjellig fra CN som ble brukt under det første oppsettet.

                                                                                                                                                  Kunne ikke autentisere for skytjenester.

                                                                                                                                                  Se etter nøyaktighet og mulig utløp av legitimasjon for tjenestekonto .

                                                                                                                                                  Kunne ikke åpne den lokale nøkkellagerfilen.

                                                                                                                                                  Se etter integritet og passordnøyaktighet i den lokale nøkkellagerfilen.

                                                                                                                                                  Det lokale serversertifikat er ugyldig.

                                                                                                                                                  Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans.

                                                                                                                                                  Kan ikke legge inn beregninger.

                                                                                                                                                  Sjekk lokal nettverkstilgang til eksterne skytjenester.

                                                                                                                                                  Katalogen /media/configdrive/hds finnes ikke.

                                                                                                                                                  Kontroller konfigurasjonen for ISO-montering på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å montere ved omstart, og at den er vellykket.

                                                                                                                                                  Feilsøke hybrid datasikkerhet

                                                                                                                                                  Bruk følgende generelle retningslinjer når du feilsøker problemer med Hybrid Data Security.
                                                                                                                                                  1

                                                                                                                                                  Se gjennom Control Hub for å se eventuelle varsler, og reparer alle elementer du finner der.

                                                                                                                                                  2

                                                                                                                                                  Se gjennom syslog-serverutdataene for aktivitet fra Hybrid Data Security-distribusjonen.

                                                                                                                                                  3

                                                                                                                                                  Kontakt Cisco-støtte .

                                                                                                                                                  Andre merknader

                                                                                                                                                  Kjente problemer med hybrid datasikkerhet

                                                                                                                                                  • Hvis du avslutter Hybrid Data Security-klyngen (ved å slette den i Control Hub eller ved å avslutte alle noder), mister ISO-konfigurasjonsfilen eller mister tilgangen til nøkkellagerdatabasen, kan brukerne av Webex-appen ikke lenger bruke områder under Personene sine liste som ble opprettet med nøkler fra KMS. Dette gjelder både prøveversjon og produksjonsdistribusjoner. Vi har for øyeblikket ingen løsning eller løsning for dette problemet, og vi ber deg innstendig om ikke å avslutte HDS-tjenestene dine når de håndterer aktive brukerkontoer.

                                                                                                                                                  • En klient som har en eksisterende ECDH-tilkobling til en KMS, opprettholder denne tilkoblingen i en periode (sannsynligvis én time). Når en bruker blir medlem av en prøveversjon av Hybrid Data Security, fortsetter brukerens klient å bruke den eksisterende ECDH-tilkoblingen frem til tidsavbrudd. Alternativt kan brukeren logge av og på igjen Webex-appen for å oppdatere plasseringen appen kontakter for krypteringsnøkler.

                                                                                                                                                    Den samme virkemåten oppstår når du flytter en prøveversjon til produksjon for organisasjonen. Alle ikke-prøvebrukere med eksisterende ECDH-tilkoblinger til de tidligere datasikkerhetstjenestene vil fortsette å bruke disse tjenestene til ECDH-tilkoblingen reforhandles (gjennom tidsavbrudd eller ved å logge av og på igjen).

                                                                                                                                                  Bruk OpenSSL til å generere en PKCS12-fil

                                                                                                                                                  Før du starter

                                                                                                                                                  • OpenSSL er ett verktøy som kan brukes til å gjøre PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi hverken støtter eller promoterer én måte fremfor en annen.

                                                                                                                                                  • Hvis du velger å bruke OpenSSL, tilbyr vi denne fremgangsmåten som en retningslinje for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i Krav til X.509-sertifikater . Forstå disse kravene før du fortsetter.

                                                                                                                                                  • Installer OpenSSL i et støttet miljø. Sehttps://www.openssl.org for programvaren og dokumentasjonen.

                                                                                                                                                  • Opprett en privat nøkkel.

                                                                                                                                                  • Start denne prosedyren når du mottar serversertifikat fra sertifiseringsinstans (CA).

                                                                                                                                                  1

                                                                                                                                                  Når du mottar serversertifikat fra CA, lagrer du det som hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Vis sertifikatet som tekst, og bekreft detaljene.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Bruk et tekstredigeringsprogram til å opprette en sertifikatpakkefil kalt hdsnode-bundle.pem. Gruppefilen må inneholde serversertifikat, eventuelle mellomliggende CA-sertifikater og CA-rotsertifikatene, i formatet nedenfor:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Opprett .p12-filen med det vennlige navnet kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Kontroller serversertifikat .

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Skriv inn et passord når du blir bedt om det for å kryptere den private nøkkelen slik at den vises i utdataene. Deretter kontrollerer du at den private nøkkelen og det første sertifikatet inkluderer linjene friendlyName: kms-private-key.

                                                                                                                                                    Eksempel:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Hva nå?

                                                                                                                                                  Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet . Du vil bruke hdsnode.p12 filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-vertene .


                                                                                                                                                   

                                                                                                                                                  Du kan bruke disse filene på nytt til å be om et nytt sertifikat når det opprinnelige sertifikatet utløper.

                                                                                                                                                  Trafikk mellom HDS-nodene og skyen

                                                                                                                                                  Utgående trafikk for innsamling av beregninger

                                                                                                                                                  Hybriddatasikkerhetsnodene sender bestemte beregninger til Webex-skyen. Disse inkluderer systemmålinger for maks. haug, brukt haug, CPU-belastning og antall tråder. målinger for synkrone og asynkrone tråder; målinger for varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller en forespørselskølengde; målinger på datalageret; og måleverdier for krypteringstilkobling. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).

                                                                                                                                                  Innkommende trafikk

                                                                                                                                                  Hybriddatasikkerhetsnodene mottar følgende typer innkommende trafikk fra Webex-skyen:

                                                                                                                                                  • Krypteringsforespørsler fra klienter, som rutes av krypteringstjenesten

                                                                                                                                                  • Oppgraderinger til nodeprogramvaren

                                                                                                                                                  Konfigurer Squid-proxyer for hybrid datasikkerhet

                                                                                                                                                  Websocket kan ikke koble til via Squid-proxy

                                                                                                                                                  Squid-proxyer som inspiserer HTTPS-trafikk, kan forstyrre etableringen av websocket ( wss:)-tilkoblinger som Hybrid Data Security krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss: trafikk for riktig drift av tjenestene.

                                                                                                                                                  Squid 4 og 5

                                                                                                                                                  Legg til on_unsupported_protocol direktiv til squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Vi testet Hybrid Data Security med følgende regler lagt til squid.conf. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Forord

                                                                                                                                                  Ny og endret informasjon

                                                                                                                                                  Dato

                                                                                                                                                  Endringer gjort

                                                                                                                                                  20. oktober 2023

                                                                                                                                                  7. august 2023

                                                                                                                                                  23. mai 2023

                                                                                                                                                  6. desember 2022

                                                                                                                                                  23. november 2022

                                                                                                                                                  13. oktober 2021

                                                                                                                                                  Docker Desktop må kjøre et installasjonsprogram før du kan installere HDS-noder. Se Krav til Docker-skrivebord .

                                                                                                                                                  24. juni 2021

                                                                                                                                                  Merk at du kan bruke den private nøkkelfilen og CSR-en på nytt for å be om et annet sertifikat. Se Bruk OpenSSL til å generere en PKCS12-fil for detaljer.

                                                                                                                                                  30. april 2021

                                                                                                                                                  Endret VM-kravet for lokal harddiskplass til 30 GB. Se Krav til virtuell vert for detaljer.

                                                                                                                                                  24. februar 2021

                                                                                                                                                  HDS-installasjonsverktøyet kan nå kjøres bak en proxy. Se Opprett en konfigurasjons-ISO for HDS-vertene for detaljer.

                                                                                                                                                  2. februar 2021

                                                                                                                                                  HDS kan nå kjøres uten en montert ISO-fil. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.

                                                                                                                                                  11. januar 2021

                                                                                                                                                  Lagt til informasjon om HDS-oppsettverktøy og proxyer til Opprett en konfigurasjons-ISO for HDS-vertene .

                                                                                                                                                  13. oktober 2020

                                                                                                                                                  Oppdatert Last ned installasjonsfiler .

                                                                                                                                                  8. oktober 2020

                                                                                                                                                  Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med kommandoer for FedRAMP-miljøer.

                                                                                                                                                  14. august 2020

                                                                                                                                                  Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene og Endre nodekonfigurasjonen med endringer i påloggingsprosessen.

                                                                                                                                                  5. august 2020

                                                                                                                                                  Oppdatert Test hybriddistribusjonen av datasikkerhet for endringer i loggmeldinger.

                                                                                                                                                  Oppdatert Krav til virtuell vert for å fjerne maksimalt antall verter.

                                                                                                                                                  16. juni 2020

                                                                                                                                                  Oppdatert Fjerne en node for endringer i Control Hub-grensesnittet.

                                                                                                                                                  4. juni 2020

                                                                                                                                                  Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for endringer i de avanserte innstillingene du måtte angi.

                                                                                                                                                  29. mai 2020

                                                                                                                                                  Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene for å vise at du også kan bruke TLS med SQL Server-databaser, brukergrensesnittendringer og andre presiseringer.

                                                                                                                                                  5. mai 2020

                                                                                                                                                  Oppdatert Krav til virtuell vert for å vise nye krav til ESXi 6.5.

                                                                                                                                                  21. april 2020

                                                                                                                                                  Oppdatert Krav til ekstern tilkobling med nye Americas CI-verter.

                                                                                                                                                  1. april 2020

                                                                                                                                                  Oppdatert Krav til ekstern tilkobling med informasjon om regionale CI-verter.

                                                                                                                                                  20. februar 2020Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med informasjon om det nye, valgfrie skjermbildet for avanserte innstillinger i HDS-oppsettverktøyet.
                                                                                                                                                  4. februar 2020Oppdatert Krav til proxy-server .
                                                                                                                                                  16. desember 2019Klargjorde kravet om at blokkert ekstern DNS-oppløsningsmodus skal fungere i Krav til proxy-server .
                                                                                                                                                  19. november 2019

                                                                                                                                                  La til informasjon om blokkert ekstern DNS-oppløsningsmodus i følgende deler:

                                                                                                                                                  8. november 2019

                                                                                                                                                  Du kan nå konfigurere nettverksinnstillinger for en node mens du distribuerer OVA i stedet for etterpå.

                                                                                                                                                  Oppdaterte følgende deler tilsvarende:


                                                                                                                                                   

                                                                                                                                                  Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon har blitt testet med ESXi 6.5. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

                                                                                                                                                  6. september 2019

                                                                                                                                                  Lagt til SQL Server Standard i Krav til databaseserver .

                                                                                                                                                  29. august 2019Lagt til Konfigurer Squid-proxyer for hybrid datasikkerhet vedlegg med veiledning om konfigurering av Squid-proxyer til å ignorere websocket-trafikk for riktig drift.
                                                                                                                                                  20. august 2019

                                                                                                                                                  Lagt til og oppdaterte deler for å dekke proxy-støtte for hybrid datasikkerhetsnodekommunikasjon til Webex-skyen.

                                                                                                                                                  Hvis du bare vil ha tilgang til proxy-støtteinnholdet for en eksisterende distribusjon, kan du se Proxy-støtte for hybrid datasikkerhet og Webex-videonett hjelpeartikkel.

                                                                                                                                                  13. juni 2019Oppdatert Oppgaveflyt fra prøveversjon til produksjon med en påminnelse om å synkronisere HdsTrialGroup gruppeobjekt før du starter en prøveversjon hvis organisasjonen bruker katalogsynkronisering.
                                                                                                                                                  6. mars 2019
                                                                                                                                                  28. februar 2019
                                                                                                                                                  • Korrigerte mengden lokal harddiskplass per server som du bør sette til side når du klargjør de virtuelle vertene som blir Hybrid Data Security-nodene, fra 50 GB til 20 GB, for å gjenspeile størrelsen på disken som OVA-en oppretter.

                                                                                                                                                  26. februar 2019
                                                                                                                                                  • Hybrid Data Security-noder støtter nå krypterte tilkoblinger med PostgreSQL-databaseservere, og krypterte loggingstilkoblinger til en TLS-kompatibel syslog-server. Oppdatert Opprett en konfigurasjons-ISO for HDS-vertene med instruksjoner.

                                                                                                                                                  • Fjernet destinasjonsadresser fra tabellen Krav til Internett-tilkobling for virtuelle hybriddatasikkerhetsnoder. Tabellen viser nå til listen som vedlikeholdes i tabellen «Flere URL-adresser for Webex Teams-hybridtjenester» for Nettverkskrav for Webex Teams-tjenester .

                                                                                                                                                  24. januar 2019

                                                                                                                                                  • Hybrid Data Security støtter nå Microsoft SQL Server som en database. SQL Server Alltid på (Alltid på failover-klynger og Alltid på tilgjengelighetsgrupper) støttes av JDBC-driverne som brukes i Hybrid Data Security. Lagt til innhold relatert til distribusjon med SQL Server.


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server-støtte er bare ment for nye distribusjoner av hybriddatasikkerhet. Vi støtter for øyeblikket ikke overføring av data fra PostgreSQL til Microsoft SQL Server i en eksisterende distribusjon.

                                                                                                                                                  5. november 2018
                                                                                                                                                  19. oktober 2018

                                                                                                                                                  31. juli 2018

                                                                                                                                                  21. mai 2018

                                                                                                                                                  Endret terminologi for å gjenspeile endringen av varemerke for Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security er nå Hybrid Data Security.

                                                                                                                                                  • Cisco Spark-appen er nå Webex-appen.

                                                                                                                                                  • Cisco Collaboraton Cloud er nå Webex-skyen.

                                                                                                                                                  11. april 2018
                                                                                                                                                  22. februar 2018
                                                                                                                                                  15. februar 2018
                                                                                                                                                  • I Krav til X.509-sertifikater tabellen, angitt at sertifikatet ikke kan være et jokertegnsertifikat, og at KMS bruker CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene.

                                                                                                                                                  18. januar 2018

                                                                                                                                                  2. november 2017

                                                                                                                                                  • Tydeliggjort katalogsynkronisering av HdsTrialGroup.

                                                                                                                                                  • Løste instruksjoner for opplasting av ISO konfigurasjonsfil for montering til VM-nodene.

                                                                                                                                                  18. august 2017

                                                                                                                                                  Først publisert

                                                                                                                                                  Kom i gang med Hybrid Data Security

                                                                                                                                                  Oversikt over hybrid datasikkerhet

                                                                                                                                                  Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er ende-til-ende-kryptering av innhold, aktivert av Webex App-klienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografinøklene som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.

                                                                                                                                                  Som standard får alle Webex App-kunder ende-til-ende-kryptering med dynamiske nøkler lagret i KMS-skyen, i Ciscos sikkerhetsområde. Hybrid datasikkerhet flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, slik at ingen andre enn deg har nøklene til ditt krypterte innhold.

                                                                                                                                                  Arkitektur for sikkerhetsriket

                                                                                                                                                  Webex-skyarkitekturen skiller forskjellige typer tjenester i separate områder, eller klareringsdomener, som vist nedenfor.

                                                                                                                                                  Separasjonsområder (uten hybrid datasikkerhet)

                                                                                                                                                  For å forstå Hybrid Data Security ytterligere, la oss først se på dette rene skysaken, der Cisco leverer alle funksjoner i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan korreleres direkte med personlig informasjon, for eksempel e-postadresse, er logisk og fysisk atskilt fra sikkerhetsområdet i datasenter B. Begge er igjen atskilt fra området der kryptert innhold til slutt lagres , i datasenter C.

                                                                                                                                                  I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og som er autentisert med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:

                                                                                                                                                  1. Klienten oppretter en sikker tilkobling med nøkkelbehandlingstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikker tilkobling bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en AES-256-hovednøkkel.

                                                                                                                                                  2. Meldingen krypteres før den forlater klienten. Klienten sender den til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe til med fremtidige søk etter innholdet.

                                                                                                                                                  3. Den krypterte meldingen sendes til samsvarstjenesten for samsvarskontroll.

                                                                                                                                                  4. Den krypterte meldingen lagres i lagringsområdet.

                                                                                                                                                  Når du distribuerer Hybrid Data Security, flytter du sikkerhetsområdets funksjoner (KMS, indeksering og samsvar) til det lokale datasenter. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos riker.

                                                                                                                                                  Samarbeide med andre organisasjoner

                                                                                                                                                  Brukere i organisasjonen din kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen (fordi det ble opprettet av en av brukerne), sender KMS-en nøkkelen til klienten over en ECDH-sikker kanal. Når en annen organisasjon eier nøkkelen for området, ruter KMS-en imidlertid forespørselen ut til Webex-skyen gjennom en egen ECDH-kanal for å hente nøkkelen fra riktig KMS, og returnerer deretter nøkkelen til brukeren på den opprinnelige kanalen.

                                                                                                                                                  KMS-tjenesten som kjøres på organisasjon A, validerer tilkoblingene til KMS-er i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet ditt for detaljer om generering av et x.509-sertifikat som skal brukes med Hybrid Data Security-distribusjonen.

                                                                                                                                                  Forventninger for distribusjon av hybrid datasikkerhet

                                                                                                                                                  En Hybrid Data Security-distribusjon krever betydelig kundeengasjement og en bevissthet om risikoene som følger med å eie krypteringsnøkler.

                                                                                                                                                  Hvis du vil distribuere Hybrid Data Security, må du oppgi:

                                                                                                                                                  Fullstendig tap av enten konfigurasjons-ISO-en du bygger for Hybrid Data Security eller databasen du oppgir, vil føre til tap av nøklene. Tap av nøkkel forhindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:

                                                                                                                                                  • Behandle sikkerhetskopieringen og gjenopprettingen av databasen og konfigurasjonen av ISO.

                                                                                                                                                  • Vær forberedt på å utføre rask gjenoppretting ved katastrofegjenoppretting hvis det oppstår en katastrofe, for eksempel en databasediskfeil eller en datasenter .


                                                                                                                                                   

                                                                                                                                                  Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon.

                                                                                                                                                  Konfigurasjonsprosess på høyt nivå

                                                                                                                                                  Dette dokumentet dekker oppsett og administrasjon av en Hybrid Data Security-distribusjon:

                                                                                                                                                  • Konfigurer Hybrid Data Security – Dette inkluderer klargjøring av nødvendig infrastruktur og installasjon av Hybrid Data Security-programvare, testing av distribusjonen med et undersett av brukere i prøveversjonsmodus, og, når testingen er fullført, overgang til produksjon. Dette konverterer hele organisasjonen til å bruke Hybrid Data Security-klyngen for sikkerhetsfunksjoner.

                                                                                                                                                    Oppsett-, prøve- og produksjonsfasene dekkes i detalj i de neste tre kapitlene.

                                                                                                                                                  • Vedlikeholde Hybrid Data Security-distribusjonen – Webex-skyen gir automatisk løpende oppgraderinger. IT-avdelingen din kan tilby nivå 1-støtte for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke skjermvarsler og konfigurere e-postbaserte varsler i Control Hub.

                                                                                                                                                  • Forstå vanlige varsler, feilsøkingstrinn og kjente problemer –Hvis du får problemer med å distribuere eller bruke Hybrid Data Security, kan det siste kapitlet i denne veiledningen og tillegget Kjente problemer hjelpe deg med å finne ut og løse problemet.

                                                                                                                                                  Hybrid distribusjonsmodell for datasikkerhet

                                                                                                                                                  I foretningsdata distribuerer du Hybrid Data Security som én enkelt klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen gjennom sikre websockets og sikker HTTP.

                                                                                                                                                  Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere den virtuelle enheten på de virtuelle maskinene du oppgir. Du bruker installasjonsverktøyet for HDS til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Hybrid Data Security-klyngen bruker den medfølgende Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)

                                                                                                                                                  Hybrid distribusjonsmodell for datasikkerhet

                                                                                                                                                  Det minste antallet noder du kan ha i en klynge, er to. Vi anbefaler minst tre, og du kan ha opptil fem. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)

                                                                                                                                                  Alle nodene i en klynge har tilgang til det samme nøkkeldatalageret og loggaktiviteten til den samme syslog-serveren. Nodene i seg selv er statsløse og håndterer nøkkelforespørsler på en roundrobin-måte, som anvist av skyen.

                                                                                                                                                  Nodene blir aktive når du registrerer dem i Control Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.

                                                                                                                                                  Vi støtter bare én klynge per organisasjon.

                                                                                                                                                  Prøveversjonsmodus for hybrid datasikkerhet

                                                                                                                                                  Etter at du har satt opp en Hybrid Data Security-distribusjon, kan du først prøve den med et sett med pilotbrukere. I løpet av prøveperioden bruker disse brukerne det lokale Hybrid Data Security-domenet ditt for krypteringsnøkler og andre sikkerhetstjenester. De andre brukerne dine fortsetter å bruke sikkerhetsområdet for skyen.

                                                                                                                                                  Hvis du bestemmer deg for ikke å fortsette med distribusjonen i løpet av prøveperioden og deaktivere tjenesten, mister pilotbrukerne og alle brukere de har samhandlet med ved å opprette nye områder i løpet av prøveperioden tilgangen til meldingene og innholdet. De vil se «Denne meldingen kan ikke dekrypteres» i Webex-appen.

                                                                                                                                                  Hvis du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, og du er klar til å utvide Hybrid Data Security til alle brukerne, flytter du distribusjonen til produksjon. Pilotbrukere fortsetter å ha tilgang til nøklene som var i bruk under prøveversjonen. Du kan imidlertid ikke gå frem og tilbake mellom produksjonsmodus og den opprinnelige prøveversjonen. Hvis du må deaktivere tjenesten, for eksempel for å utføre katastrofegjenoppretting, må du starte en ny prøveversjon og konfigurere settet med pilotbrukere for den nye prøveversjonen før du går tilbake til produksjonsmodus når du aktiverer den. Hvorvidt brukere beholder tilgangen til data på dette tidspunktet, avhenger av om du har vedlikeholdt sikkerhetskopier av datalager og ISO konfigurasjonsfil for Hybrid Data Security-nodene i klyngen.

                                                                                                                                                  Datasenter i ventemodus for katastrofegjenoppretting

                                                                                                                                                  Under distribusjonen konfigurerer du et sikkert datasenter i ventemodus . I tilfelle en datasenter , kan du feile distribusjonen manuelt over til datasenter i ventemodus .

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Manuell failover til datasenter i ventemodus

                                                                                                                                                  Databasene til det aktive datasenteret og datasenteret i ventemodus er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover. ISO-filen til datasenter for ventemodus oppdateres med flere konfigurasjoner som sikrer at nodene registreres i organisasjonen, men ikke håndterer trafikk. Derfor forblir nodene i standby datasenter alltid oppdatert med den nyeste versjonen av HDS-programvaren.


                                                                                                                                                   

                                                                                                                                                  De aktive hybriddatasikkerhetsnodene må alltid være i samme datasenter som den aktive databaseserver.

                                                                                                                                                  Konfigurere datasenter i ventemodus for katastrofegjenoppretting

                                                                                                                                                  Følg trinnene nedenfor for å konfigurere ISO-filen for datasenter i ventemodus:

                                                                                                                                                  Før du starter

                                                                                                                                                  • datasenter i ventemodus skal speile produksjonsmiljøet til virtuelle maskiner og en sikkerhetskopi av PostgreSQL- eller Microsoft SQL Server-database. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner. (Se Datasenter i ventemodus for katastrofegjenoppretting for en oversikt over denne failover-modellen.)

                                                                                                                                                  • Kontroller at databasesynkronisering er aktivert mellom databasen med aktive og passive klyngenoder.

                                                                                                                                                  1

                                                                                                                                                  Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .


                                                                                                                                                   

                                                                                                                                                  ISO-filen må være en kopi av den originale ISO-filen til det primære datasenter som følgende konfigurasjonsoppdateringer skal utføres på.

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger

                                                                                                                                                  3

                                                                                                                                                  Avanserte innstillinger side, legger du til konfigurasjonen nedenfor for å plassere noden i passiv modus. I denne modusen vil noden være registrert i organisasjonen og koblet til skyen, men vil ikke håndtere trafikk.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne.

                                                                                                                                                  5

                                                                                                                                                  Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer.

                                                                                                                                                  6

                                                                                                                                                  I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. .

                                                                                                                                                  7

                                                                                                                                                  Klikk på Rediger innstillinger > CD/DVD-stasjon 1 og velg ISO-fil for Datastore.


                                                                                                                                                   

                                                                                                                                                  Sørg for Tilkoblet og Koble til når strømmen er på er kontrollert slik at oppdaterte konfigurasjonsendringer kan tre i kraft etter at nodene er startet.

                                                                                                                                                  8

                                                                                                                                                  Slå på HDS-noden og kontroller at det ikke er noen alarmer i minst 15 minutter.

                                                                                                                                                  9

                                                                                                                                                  Gjenta prosessen for hver node i datasenter i ventemodus.


                                                                                                                                                   

                                                                                                                                                  Kontroller syslogs for å bekrefte at nodene er i passiv modus. Du skal kunne se meldingen «KMS konfigurert i passiv modus» i syslogs.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Etter konfigurering passiveMode i ISO-filen og lagrer den, kan du opprette en annen kopi av ISO-filen uten passiveMode konfigurasjonen og lagre den på et sikkert sted. Denne kopien av ISO-filen uten passiveMode konfigurert kan hjelpe i en rask failover-prosess under katastrofegjenoppretting. Se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus for den detaljerte failover-prosedyren.

                                                                                                                                                  Proxy-støtte

                                                                                                                                                  Hybriddatasikkerhet støtter eksplisitte, gjennomsiktige proxyer for inspeksjon og ikke-inspeksjon. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et grensesnitt for plattformadministrasjon på nodene for sertifikatadministrasjon og kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.

                                                                                                                                                  Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:

                                                                                                                                                  • Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Klareringslager og proxy-konfigurasjon til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.

                                                                                                                                                  • Gjennomsiktig ikke-inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse, og bør ikke trenge endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.

                                                                                                                                                  • Gjennomsiktig tunnelering eller inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjon er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de klarerer proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer om hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).

                                                                                                                                                  • Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og hvilken godkjenningsplan som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon for hver node:

                                                                                                                                                    1. Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

                                                                                                                                                    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

                                                                                                                                                    3. Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:

                                                                                                                                                      • HTTP – Viser og kontrollerer alle forespørsler som klienten sender.

                                                                                                                                                      • HTTPS – Gir en kanal til serveren. Klienten mottar og godkjenner serverens sertifikat.

                                                                                                                                                    4. Godkjenningstype – Velg blant følgende godkjenningstyper:

                                                                                                                                                      • Ingen – Ingen ytterligere godkjenning er nødvendig.

                                                                                                                                                        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

                                                                                                                                                      • Grunnleggende – Brukes for en HTTP-brukeragent til å angi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

                                                                                                                                                        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

                                                                                                                                                        Krever at du skriver inn brukernavn og passord for hver node.

                                                                                                                                                      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

                                                                                                                                                        Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.

                                                                                                                                                        Krever at du skriver inn brukernavn og passord for hver node.

                                                                                                                                                  Eksempel på noder og proxy for hybriddatasikkerhet

                                                                                                                                                  Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og HTTPS eksplisitt inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.

                                                                                                                                                  Blokkert ekstern DNS-oppløsningsmodus (eksplisitt proxy-konfigurasjoner)

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsningsmodus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.

                                                                                                                                                  Forbered miljøet ditt

                                                                                                                                                  Krav for hybrid datasikkerhet

                                                                                                                                                  Krav til Docker-skrivebord

                                                                                                                                                  Før du installerer HDS-nodene, må du ha Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig lisensieringsmodellen. Organisasjonen din kan kreve et betalt abonnement for Docker Desktop. Hvis du vil ha mer informasjon, se Docker-blogginnlegget, « Docker oppdaterer og utvider produktabonnementene våre «.

                                                                                                                                                  Krav til X.509-sertifikater

                                                                                                                                                  sertifikatkjede må oppfylle følgende krav:

                                                                                                                                                  Tabell 1. X.509-sertifikatkrav for hybrid distribusjon av datasikkerhet

                                                                                                                                                  Krav

                                                                                                                                                  Detaljer

                                                                                                                                                  • Signert av en klarert sertifiseringsinstans (CA)

                                                                                                                                                  Som standard klarerer vi sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) påhttps://wiki.mozilla.org/CA:IncludedCAs .

                                                                                                                                                  • Bærer et Common Name- domenenavn (CN) som identifiserer Hybrid Data Security-distribusjonen

                                                                                                                                                  • Er ikke et jokertegnsertifikat

                                                                                                                                                  CN-en trenger ikke å være tilgjengelig eller være en direktevert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel hds.company.com.

                                                                                                                                                  CN kan ikke inneholde en * (jokertegn).

                                                                                                                                                  CN brukes til å bekrefte hybriddatasikkerhetsnodene til Webex App-klienter. Alle hybriddatasikkerhetsnodene i klyngen bruker det samme sertifikatet. KMS-en din identifiserer seg ved hjelp av CN-domenet, ikke et hvilket som helst domener som er definert i x.509v3 SAN-feltene.

                                                                                                                                                  Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN- domenenavn. Velg et domene som kan gjelde for både prøveversjonen og produksjonsdistribusjonene.

                                                                                                                                                  • Signatur som ikke er SHA1

                                                                                                                                                  KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjoners KMS-er.

                                                                                                                                                  • Formatert som en passordbeskyttet PKCS #12-fil

                                                                                                                                                  • Bruk det vennlige navnet på kms-private-key for å merke sertifikatet, den private nøkkelen og eventuelle mellomsertifikater som skal lastes opp.

                                                                                                                                                  Du kan bruke et konverteringsprogram som OpenSSL til å endre sertifikatets format.

                                                                                                                                                  Du må angi passordet når du kjører HDS-installasjonsverktøyet.

                                                                                                                                                  KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifiseringsinstanser krever at utvidede begrensninger for nøkkelbruk brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.

                                                                                                                                                  Krav til virtuell vert

                                                                                                                                                  De virtuelle vertene som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen, har følgende krav:

                                                                                                                                                  • Minst to separate verter (tre anbefales) plassert i det samme sikre datasenter

                                                                                                                                                  • VMware ESXi 6.5 (eller nyere) er installert og kjører.


                                                                                                                                                     

                                                                                                                                                    Du må oppgradere hvis du har en tidligere versjon av ESXi.

                                                                                                                                                  • Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokal harddiskplass per server

                                                                                                                                                  Krav til databaseserver


                                                                                                                                                   

                                                                                                                                                  Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene, når de er installert, oppretter databaseskjemaet.

                                                                                                                                                  Det finnes to alternativer for databaseserver. Kravene for hver av dem er som følger:

                                                                                                                                                  Tabell 2. Krav til databaseserver etter databasetype

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 eller 16, installert og kjører.

                                                                                                                                                  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) er installert.


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 krever Service Pack 2 og kumulativ oppdatering 2 eller senere.

                                                                                                                                                  Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

                                                                                                                                                  Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

                                                                                                                                                  HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserver:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC-driver 42.2.5

                                                                                                                                                  SQL Server JDBC-driver 4.6

                                                                                                                                                  Denne driverversjonen støtter SQL Server Always On ( Alltid på failover-klyngeforekomster og Alltid på tilgjengelighetsgrupper ).

                                                                                                                                                  Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server

                                                                                                                                                  Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:

                                                                                                                                                  • HDS-nodene, Active Directory -infrastrukturen og MS SQL Server må alle være synkronisert med NTP.

                                                                                                                                                  • Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.

                                                                                                                                                  • DNS-serverne du oppgir til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).

                                                                                                                                                  • Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et Service Principal Name (SPN) i Active Directory. Se Registrer et hovednavn for tjeneste for Kerberos Connections .

                                                                                                                                                    HDS-oppsettverktøyet, HDS-startprogrammet og lokal KMS må alle bruke Windows-godkjenning for å få tilgang til nøkkellagerdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN når de ber om tilgang med Kerberos-autentisering.

                                                                                                                                                  Krav til ekstern tilkobling

                                                                                                                                                  Konfigurer brannmuren til å tillate følgende tilkoblingsmuligheter for HDS-programmene:

                                                                                                                                                  Applikasjon

                                                                                                                                                  Protokoll

                                                                                                                                                  Port

                                                                                                                                                  Veibeskrivelse fra app

                                                                                                                                                  Destinasjon

                                                                                                                                                  Hybride datasikkerhetsnoder

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS og WSS

                                                                                                                                                  • Webex-servere:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Alle Common Identity-verter

                                                                                                                                                  • Andre nettadresser som er oppført for Hybrid Data Security i Ytterligere URL-adresser for Webex Hybrid Services tabell over Nettverkskrav for Webex-tjenester

                                                                                                                                                  HDS-oppsettverktøy

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Utgående HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Alle Common Identity-verter

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Hybrid Data Security-nodene fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmur tillater de nødvendige utgående tilkoblingene til domenemålene i den foregående tabellen. For tilkoblinger som går inn til Hybrid Data Security-nodene, skal ingen porter være synlige fra Internett. I datasenter ditt trenger klienter tilgang til hybriddatasikkerhetsnodene på TCP-portene 443 og 22 til administrative formål.

                                                                                                                                                  URL-adressene for CI-vertene (Common Identity) er regionsspesifikke. Dette er de nåværende CI-vertene:

                                                                                                                                                  Region

                                                                                                                                                  Felles URL-adresser for vertsidentitet

                                                                                                                                                  Nord- og Sør-Amerika

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Den europeiske union

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Canada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Krav til proxy-server

                                                                                                                                                  • Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene dine for hybriddatasikkerhet.

                                                                                                                                                    • Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Eksplisitt proxy – Squid.


                                                                                                                                                       

                                                                                                                                                      Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av WebSocket (wss:) tilkoblinger. Hvis du vil omgå dette problemet, kan du se Konfigurer Squid-proxyer for hybrid datasikkerhet .

                                                                                                                                                  • Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:

                                                                                                                                                    • Ingen godkjenning med HTTP eller HTTPS

                                                                                                                                                    • Enkel godkjenning med HTTP eller HTTPS

                                                                                                                                                    • Sammendragsgodkjenning kun med HTTPS

                                                                                                                                                  • Hvis du vil ha en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne håndboken beskriver hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnoder.

                                                                                                                                                  • Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.

                                                                                                                                                  • Proxyer som inspiserer nettrafikk, kan forstyrre WebSocket-tilkoblinger. Hvis dette problemet oppstår, kan du omgå (ikke inspisere) trafikk til wbx2.com og ciscospark.com vil løse problemet.

                                                                                                                                                  Fullfør forutsetningene for hybrid datasikkerhet

                                                                                                                                                  Bruk denne sjekklisten for å sikre at du er klar til å installere og konfigurere Hybrid Data Security-klyngen.
                                                                                                                                                  1

                                                                                                                                                  Kontroller at Webex-organisasjonen din er aktivert for Pro Pack for Cisco Webex Control Hub, og få legitimasjonen til en konto med fulle administrator . Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen.

                                                                                                                                                  2

                                                                                                                                                  Velg et domenenavn for HDS-distribusjonen (for eksempel hds.company.com) og få en sertifikatkjede som inneholder et X.509-sertifikat, privat nøkkel og eventuelle mellomsertifikater. sertifikatkjede må oppfylle kravene i Krav til X.509-sertifikater .

                                                                                                                                                  3

                                                                                                                                                  Klargjør identiske virtuelle verter som du vil konfigurere som hybriddatasikkerhetsnoder i klyngen. Du trenger minst to separate verter (tre anbefales) plassert i det samme sikre datasenter, som oppfyller kravene i Krav til virtuell vert .

                                                                                                                                                  4

                                                                                                                                                  Klargjør databaseserver som skal fungere som datalager for klyngen, i henhold til Krav til databaseserver . databaseserver må være lokalisert i det sikre datasenter med de virtuelle vertene.

                                                                                                                                                  1. Opprett en database for nøkkellagring. (Du må opprette denne databasen – ikke bruk standarddatabasen. HDS-applikasjonene oppretter databaseskjemaet når de er installert.)

                                                                                                                                                  2. Samle inn detaljene som nodene skal bruke til å kommunisere med databaseserver:

                                                                                                                                                    • vertsnavn eller IP-adresse (vert) og port

                                                                                                                                                    • navnet på databasen (dbname) for nøkkellagring

                                                                                                                                                    • brukernavnet og passordet til en bruker med alle rettigheter i nøkkellagringsdatabasen

                                                                                                                                                  5

                                                                                                                                                  Hvis du vil ha rask gjenoppretting ved katastrofegjenoppretting, konfigurerer du et sikkerhetskopimiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet for virtuelle datamaskiner og en databaseserver. Hvis produksjonen for eksempel har 3 virtuelle datamaskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle datamaskiner.

                                                                                                                                                  6

                                                                                                                                                  Konfigurer en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadresse og syslog-porten (standard er UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Opprett en sikker sikkerhetskopieringspolicy for Hybrid Data Security-nodene, databaseserver og syslog-verten. For å forhindre tap av ugjenopprettelig data må du som et minimum sikkerhetskopiere databasen og ISO-konfigurasjonsfilen som er generert for Hybrid Data Security-nodene.


                                                                                                                                                   

                                                                                                                                                  Siden Hybrid Data Security-nodene lagrer nøklene som brukes i kryptering og dekryptering av innhold, vil manglende vedlikehold av en operativ distribusjon føre til at TAP som ikke kan gjenvinnes av det innholdet.

                                                                                                                                                  Webex App-klienter hurtigbufrer nøklene sine, så et driftsbrudd vil kanskje ikke merkes umiddelbart, men vil bli tydelig over tid. Selv om midlertidige strømbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopier tilgjengelig) av enten databasen eller ISO-konfigurasjonsfilen vil imidlertid føre til kundedata som ikke kan gjenopprettes. Operatørene av Hybrid Data Security-nodene forventes å opprettholde hyppige sikkerhetskopier av databasen og ISO-konfigurasjonsfilen, og være forberedt på å gjenoppbygge Hybrid Data Security datasenter hvis det oppstår en katastrofal feil.

                                                                                                                                                  8

                                                                                                                                                  Kontroller at brannmurkonfigurasjonen tillater tilkobling for Hybrid Data Security-nodene som angitt i Krav til ekstern tilkobling .

                                                                                                                                                  9

                                                                                                                                                  Installer Docker (https://www.docker.com ) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til den på http://127.0.0.1:8080.

                                                                                                                                                  Du bruker Docker-forekomsten til å laste ned og kjøre installasjonsverktøyet for HDS, som bygger den lokale konfigurasjonsinformasjon for alle Hybrid Data Security-nodene. Organisasjonen din kan trenge en Docker Desktop-lisens. Se Krav til Docker-skrivebord hvis du vil ha mer informasjon.

                                                                                                                                                  Hvis du vil installere og kjøre HDS-installasjonsverktøyet, må den lokale maskinen ha tilkoblingsmulighetene som er angitt i Krav til ekstern tilkobling .

                                                                                                                                                  10

                                                                                                                                                  Hvis du integrerer en proxy med Hybrid Data Security, må du kontrollere at den oppfyller Krav til proxy-server .

                                                                                                                                                  11

                                                                                                                                                  Hvis organisasjonen din bruker katalogsynkronisering, oppretter du en gruppe i Active Directory som heter HdsTrialGroup, og legg til pilotbrukere. Prøvegruppen kan ha opptil 250 brukere. Filen HdsTrialGroup objektet må synkroniseres til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil synkronisere et gruppeobjekt, velger du det i katalogkoblingen Konfigurasjon > Objektvalg -menyen. (For detaljerte instruksjoner se Distribusjonsveiledning for Cisco Directory Connector. )


                                                                                                                                                   

                                                                                                                                                  Taster for et gitt område angis av oppretteren av området. Når du velger pilotbrukere, må du huske på at hvis du bestemmer deg for å deaktivere Hybrid Data Security-distribusjonen permanent, mister alle brukere tilgangen til innhold i områdene som ble opprettet av pilotbrukerne. Tapet blir tydelig så snart brukernes apper oppdaterer de bufrede kopiene av innholdet.

                                                                                                                                                  Konfigurer en hybrid datasikkerhetsklynge

                                                                                                                                                  Oppgaveflyt for distribusjon av hybrid datasikkerhet

                                                                                                                                                  Før du starter

                                                                                                                                                  Forbered miljøet ditt

                                                                                                                                                  1

                                                                                                                                                  Last ned installasjonsfiler

                                                                                                                                                  Last ned OVA-filen til din lokale maskin for senere bruk.

                                                                                                                                                  2

                                                                                                                                                  Opprett en konfigurasjons-ISO for HDS-vertene

                                                                                                                                                  Bruk HDS-oppsettverktøyet til å opprette en ISO konfigurasjonsfil for hybriddatasikkerhetsnodene.

                                                                                                                                                  3

                                                                                                                                                  Installer HDS Host OVA

                                                                                                                                                  Opprett en virtuell maskin fra OVA-filen og utfør den første konfigurasjonen, for eksempel nettverksinnstillinger.


                                                                                                                                                   

                                                                                                                                                  Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon har blitt testet med ESXi 6.5. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer den virtuelle hybriddatasikkerhetsmaskinen

                                                                                                                                                  Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.

                                                                                                                                                  5

                                                                                                                                                  Last opp og monter HDS-konfigurasjons-ISO

                                                                                                                                                  Konfigurer den virtuelle maskinen fra ISO konfigurasjonsfil du opprettet med HDS-installasjonsverktøyet.

                                                                                                                                                  6

                                                                                                                                                  Konfigurere HDS-noden for proxy-integrasjon

                                                                                                                                                  Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du proxy-typen du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig.

                                                                                                                                                  7

                                                                                                                                                  Registrer den første noden i klyngen

                                                                                                                                                  Registrer den virtuelle maskinen med Cisco Webex skyen som en hybrid datasikkerhetsnode.

                                                                                                                                                  8

                                                                                                                                                  Opprett og registrer flere noder

                                                                                                                                                  Fullfør klyngeoppsettet.

                                                                                                                                                  9

                                                                                                                                                  Kjør en prøveversjon og gå til produksjon (neste kapittel)

                                                                                                                                                  Frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.

                                                                                                                                                  Last ned installasjonsfiler

                                                                                                                                                  I denne oppgaven laster du ned en OVA-fil til maskinen din (ikke til serverne du konfigurerer som hybriddatasikkerhetsnoder). Du bruker denne filen senere i installasjonsprosessen.
                                                                                                                                                  1

                                                                                                                                                  Logg påhttps://admin.webex.com , og klikk deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Finn Hybrid Data Security-kortet under Hybridtjenester, og klikk deretter på Konfigurer .

                                                                                                                                                  Hvis kortet er deaktivert eller du ikke ser det, kontakter du kontoteamet ditt eller partnerorganisasjonen din. Gi dem kontonummeret ditt, og be om å aktivere organisasjonen din for Hybrid Data Security. Hvis du vil finne kontonummeret, klikker du på tannhjulet øverst til høyre, ved siden av organisasjonsnavnet.


                                                                                                                                                   

                                                                                                                                                  Du kan også laste ned OVA når som helst fra Hjelp delen om Innstillinger side. På Hybrid Data Security-kortet klikker du på Rediger innstillinger for å åpne siden. Deretter klikker du Last ned programvare for hybrid datasikkerhet i Hjelp delen.


                                                                                                                                                   

                                                                                                                                                  Eldre versjoner av programvarepakken (OVA) vil ikke være kompatible med de nyeste oppgraderingene av Hybrid Data Security. Dette kan føre til problemer under oppgradering av applikasjonen. Pass på at du laster ned den nyeste versjonen av OVA-filen.

                                                                                                                                                  3

                                                                                                                                                  Velg Nei for å indikere at du ikke har satt opp noden ennå, og klikk deretter på Neste .

                                                                                                                                                  Nedlastingen av OVA-filen begynner automatisk. Lagre filen et sted på maskinen.
                                                                                                                                                  4

                                                                                                                                                  Du kan også klikke på Åpne Distribusjonsveiledning for å sjekke om det finnes en nyere versjon av denne veiledningen.

                                                                                                                                                  Opprett en konfigurasjons-ISO for HDS-vertene

                                                                                                                                                  Konfigurasjonsprosessen for Hybrid Data Security oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere Hybrid Data Security-verten.

                                                                                                                                                  Før du starter

                                                                                                                                                  • Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.

                                                                                                                                                    Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariabler når du henter frem Docker-beholderen i trinn 5 . Denne tabellen viser noen mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uten autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uten autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen når du gjør konfigurasjonsendringer, for eksempel disse:

                                                                                                                                                    • Databaselegitimasjon

                                                                                                                                                    • Sertifikatoppdateringer

                                                                                                                                                    • Endringer i retningslinjene for autorisasjon

                                                                                                                                                  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du PostgreSQL- eller SQL Server-distribusjonen for TLS.

                                                                                                                                                  1

                                                                                                                                                  På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt:

                                                                                                                                                  I vanlige miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Dette trinnet rydder opp i tidligere bilder av HDS-oppsettverktøyet. Hvis det ikke finnes noen tidligere bilder, returnerer den en feil som du kan ignorere.

                                                                                                                                                  2

                                                                                                                                                  Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Når du blir bedt om passord, skriver du inn denne hashen:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Last ned det nyeste stabile bildet for miljøet ditt:

                                                                                                                                                  I vanlige miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  I FedRAMP-miljøer:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:

                                                                                                                                                  • I vanlige miljøer uten proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanlige miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I vanlige miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • I FedRAMP-miljøer uten en proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080».

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Installasjonsverktøyet støtter ikke tilkobling til lokal vert gjennom http://localvert:8080 . Brukhttp://127.0.0.1:8080 for å koble til lokal vert.

                                                                                                                                                  Bruk en nettleser til å gå til den lokale verten, http://127.0.0.1:8080, og angi brukernavn for kundeadministrator for Control Hub ved ledeteksten.

                                                                                                                                                  Verktøyet bruker denne første oppføringen i brukernavnet til å angi riktig miljø for den kontoen. Verktøyet viser deretter standard påloggingsmelding.

                                                                                                                                                  7

                                                                                                                                                  Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Control Hub-kundeadministratoren, og klikker deretter på Logg inn for å gi tilgang til de nødvendige tjenestene for Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  På oversiktssiden for installasjonsverktøy klikker du på Kom i gang .

                                                                                                                                                  9

                                                                                                                                                  ISO-import side, har du disse alternativene:

                                                                                                                                                  • Nei –Hvis du oppretter din første HDS-node, har du ingen ISO-fil å laste opp.
                                                                                                                                                  • Ja –Hvis du allerede har opprettet HDS-noder, velger du ISO-filen i nettleseren og laster den opp.
                                                                                                                                                  10

                                                                                                                                                  Kontroller at X.509-sertifikatet oppfyller kravene i Krav til X.509-sertifikater .

                                                                                                                                                  • Hvis du aldri har lastet opp et sertifikat før, laster du opp X.509-sertifikatet, skriver inn passordet og klikker Fortsett .
                                                                                                                                                  • Hvis sertifikatet er OK, klikker du på Fortsett .
                                                                                                                                                  • Hvis sertifikatet er utløpt eller du vil erstatte det, velger du Nei for Fortsette å bruke HDS sertifikatkjede og privat nøkkel fra tidligere ISO? . Last opp et nytt X.509-sertifikat, angi passordet og klikk Fortsett .
                                                                                                                                                  11

                                                                                                                                                  Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret:

                                                                                                                                                  1. Velg din Databasetype ( PostgreSQL eller Microsoft SQL Server ).

                                                                                                                                                    Hvis du velger Microsoft SQL Server , får du et autentiseringstype -felt.

                                                                                                                                                  2. ( Microsoft SQL Server bare) Velg din autentiseringstype :

                                                                                                                                                    • Grunnleggende autentisering : Du trenger et lokalt SQL Server- kontonavn i Brukernavn felt.

                                                                                                                                                    • Windows-autentisering : Du trenger en Windows-konto i formatet username@DOMAIN i Brukernavn felt.

                                                                                                                                                  3. Angi databaseserver i skjemaet <hostname>:<port> eller <IP-address>:<port>.

                                                                                                                                                    Eksempel:
                                                                                                                                                    dbhost.example.org:1433 eller 198.51.100.17:1433

                                                                                                                                                    Du kan bruke en IP-adresse til grunnleggende autentisering hvis nodene ikke kan bruke DNS til å løse vertsnavnet.

                                                                                                                                                    Hvis du bruker Windows-godkjenning, må du angi et fullstendig kvalifisert domenenavn i formatet dbhost.example.org:1433

                                                                                                                                                  4. Skriv inn Databasenavn .

                                                                                                                                                  5. Skriv inn Brukernavn og Passord til en bruker med alle rettigheter i nøkkellagringsdatabasen.

                                                                                                                                                  12

                                                                                                                                                  Velg en Tilkoblingsmodus for TLS-database :

                                                                                                                                                  Modus

                                                                                                                                                  Beskrivelse

                                                                                                                                                  Foretrekker TLS (standardvalg)

                                                                                                                                                  HDS-noder krever ikke TLS for å koble til databaseserver. Hvis du aktiverer TLS på databaseserver, forsøker nodene en kryptert tilkobling.

                                                                                                                                                  Krev TLS

                                                                                                                                                  HDS-noder kobles bare til hvis databaseserver kan forhandle TLS.

                                                                                                                                                  Krev TLS og bekreft sertifikatunderskriver


                                                                                                                                                   

                                                                                                                                                  Denne modusen er ikke aktuelt for SQL Server-databaser.

                                                                                                                                                  • HDS-noder kobles bare til hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Etter at du har opprettet en TLS-tilkobling, sammenligner noden underskriveren av sertifikatet fra databaseserver med sertifiseringsinstansen i rotsertifikat for database . Hvis de ikke samsvarer, avbryter noden tilkoblingen.

                                                                                                                                                  Bruk rotsertifikat for database kontrollen under rullegardinlisten for å laste opp rotsertifikat for dette alternativet.

                                                                                                                                                  Krev TLS og bekreft sertifikatunderskriver og vertsnavn

                                                                                                                                                  • HDS-noder kobles bare til hvis databaseserver kan forhandle TLS.

                                                                                                                                                  • Etter at du har opprettet en TLS-tilkobling, sammenligner noden underskriveren av sertifikatet fra databaseserver med sertifiseringsinstansen i rotsertifikat for database . Hvis de ikke samsvarer, avbryter noden tilkoblingen.

                                                                                                                                                  • Nodene bekrefter også at vertsnavnet i serversertifikat samsvarer med vertsnavnet i Databasevert og port felt. Navnene må samsvare nøyaktig, ellers avbryter noden tilkoblingen.

                                                                                                                                                  Bruk rotsertifikat for database kontrollen under rullegardinlisten for å laste opp rotsertifikat for dette alternativet.

                                                                                                                                                  Når du laster opp rotsertifikat (om nødvendig), og klikker Fortsett tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserver. Verktøyet bekrefter også sertifikatunderskriveren og vertsnavnet, hvis det er aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan det hende at HDS-nodene kan opprette TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.)

                                                                                                                                                  13

                                                                                                                                                  Konfigurer Syslogd-serveren på siden Systemlogger:

                                                                                                                                                  1. Angi nettadressen til syslog-serveren.

                                                                                                                                                    Hvis serveren ikke kan DNS-løses fra nodene for HDS-klyngen, bruker du en IP-adresse i URL-adressen.

                                                                                                                                                    Eksempel:
                                                                                                                                                    udp://10.92.43.23:514 angir logging til Syslogd-vert 10.92.43.23 på UDP-port 514.
                                                                                                                                                  2. Hvis du konfigurerer serveren til å bruke TLS-kryptering, kontrollerer du Er syslog-serveren din konfigurert for SSL-kryptering? .

                                                                                                                                                    Hvis du merker av for denne avmerkingsboks, må du kontrollere at du skriver inn en TCP-URL som for eksempel tcp://10.92.43.23:514.

                                                                                                                                                  3. Fra Velg avslutning av syslog-oppføring velger du riktig innstilling for ISO-filen: Velg eller Ny linje brukes for Graylog og Rsyslog TCP

                                                                                                                                                    • Nullbyte – \x00

                                                                                                                                                    • Ny linje – \n – Velg dette valget for Graylog og Rsyslog TCP.

                                                                                                                                                  4. Klikk på Fortsett.

                                                                                                                                                  14

                                                                                                                                                  (Valgfritt) Du kan endre standardverdi for noen databasetilkoblingsparametere i Avanserte innstillinger . Vanligvis er denne parameteren den eneste du kanskje vil endre:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Klikk på Fortsett Tilbakestill passordet for tjenestekontoer skjermen.

                                                                                                                                                  Passord for tjenestekontoer har en levetid på ni måneder. Bruk denne skjermen når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem for å ugyldiggjøre tidligere ISO-filer.

                                                                                                                                                  16

                                                                                                                                                  Klikk på Last ned ISO-fil . Lagre filen på et sted som er lett å finne.

                                                                                                                                                  17

                                                                                                                                                  Ta en sikkerhetskopi av ISO-filen på det lokale systemet.

                                                                                                                                                  Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer.

                                                                                                                                                  18

                                                                                                                                                  Hvis du vil avslutte konfigureringsverktøyet, skriver du inn CTRL+C.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                   

                                                                                                                                                  Vi har aldri en kopi av denne nøkkelen, og kan ikke hjelpe hvis du mister den.

                                                                                                                                                  Installer HDS Host OVA

                                                                                                                                                  Bruk denne fremgangsmåten til å opprette en virtuell maskin fra OVA-filen.
                                                                                                                                                  1

                                                                                                                                                  Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten.

                                                                                                                                                  2

                                                                                                                                                  Velg Fil > Distribuer OVF-mal .

                                                                                                                                                  3

                                                                                                                                                  Angi plasseringen av OVA-filen du lastet ned tidligere i veiviseren, og klikk deretter på Neste .

                                                                                                                                                  4

                                                                                                                                                  Velg et navn og en mappe side, skriver du inn en Navn på virtuell maskin for noden (for eksempel «HDS_ Node_ 1"), velg et sted der nodedistribusjonen for den virtuell maskin kan ligge, og klikk deretter Neste .

                                                                                                                                                  5

                                                                                                                                                  Velg en databehandlingsressurs -siden, velg måldataressursen, og klikk deretter Neste .

                                                                                                                                                  Det kjøres en valideringskontroll. Når den er fullført, vises maldetaljene.

                                                                                                                                                  6

                                                                                                                                                  Kontroller maldetaljene, og klikk deretter på Neste .

                                                                                                                                                  7

                                                                                                                                                  Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon side, klikk 4 CPUer og klikk deretter Neste .

                                                                                                                                                  8

                                                                                                                                                  Velg lagring side, klikk Neste for å godta standard diskformat og retningslinjer for VM-lagring.

                                                                                                                                                  9

                                                                                                                                                  Velg nettverk -siden, velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til den virtuelle maskinen.

                                                                                                                                                  10

                                                                                                                                                  Tilpass mal side, konfigurerer du følgende nettverksinnstillinger:

                                                                                                                                                  • Vertsnavn – Angi FQDN (vertsnavn og domene) eller vertsnavn med ett ord for noden.

                                                                                                                                                     
                                                                                                                                                    • Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet.

                                                                                                                                                    • Hvis du vil sikre en vellykket registrering til skyen, bruker du bare små tegn i FQDN eller vertsnavnet du angir for noden. Store og små bokstaver støttes ikke for øyeblikket.

                                                                                                                                                    • Den totale lengden på FQDN kan ikke overstige 64 tegn.

                                                                                                                                                  • IP-adresse — Angi IP-adresse for det interne grensesnittet til noden.

                                                                                                                                                     

                                                                                                                                                    Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke.

                                                                                                                                                  • Maske – Angi nettverksmaske med punktum og desimal. For eksempel 255.255.255.0 .
                                                                                                                                                  • Gateway – Angi IP-adresse for gatewayen . En gateway er en nettverksnode som fungerer som et tilgangspunkt til et annet nettverk.
                                                                                                                                                  • DNS-servere – Angi en kommadelt liste over DNS-servere som håndterer oversettelse av domenenavn til numeriske IP-adresser. (Opptil fire DNS-oppføringer er tillatt.)
                                                                                                                                                  • NTP-servere – Angi organisasjonens NTP-server eller en annen ekstern NTP-server som kan brukes i organisasjonen. Standard NTP-servere fungerer kanskje ikke for alle bedrifter. Du kan også bruke en kommadelt liste til å angi flere NTP-servere.
                                                                                                                                                  • Distribuer alle nodene på samme delnett eller VLAN, slik at alle nodene i en klynge er tilgjengelige fra klienter i nettverket for administrative formål.

                                                                                                                                                  Hvis du foretrekker det, kan du hoppe over konfigurasjonen av nettverksinnstillinger og følge trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen for å konfigurere innstillingene fra nodekonsollen.


                                                                                                                                                   

                                                                                                                                                  Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon har blitt testet med ESXi 6.5. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

                                                                                                                                                  11

                                                                                                                                                  Høyreklikk på den virtuelle noden, og velg deretter Strøm > Strøm på .

                                                                                                                                                  Hybrid Data Security-programvaren installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden.

                                                                                                                                                  Feilsøkingstips

                                                                                                                                                  Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen ved første oppstart, der du ikke kan logge på.

                                                                                                                                                  Konfigurer den virtuelle hybriddatasikkerhetsmaskinen

                                                                                                                                                  Bruk denne fremgangsmåten til å logge på VM-konsollen for Hybrid Data Security-noden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillinger for noden hvis du ikke konfigurerte dem på tidspunktet for OVA-distribusjon.

                                                                                                                                                  1

                                                                                                                                                  I VMware vSphere-klienten velger du den virtuelle hybriddatasikkerhetsnoden og velger Konsoll -fanen.

                                                                                                                                                  Den virtuelle maskinen starter opp, og det vises en påloggingsmelding. Hvis påloggingsmeldingen ikke vises, trykker du på Gå inn .
                                                                                                                                                  2

                                                                                                                                                  Bruk følgende standard påloggingsinformasjon og passord for å logge på og endre legitimasjonen:

                                                                                                                                                  1. Innlogging: admin

                                                                                                                                                  2. Passord: cisco

                                                                                                                                                  Siden du logger på den virtuelle maskinen for første gang, må du endre administrator .

                                                                                                                                                  3

                                                                                                                                                  Hvis du allerede har konfigurert nettverksinnstillinger i Installer HDS Host OVA , hopper du over resten av denne prosedyren. Ellers velger du på hovedmeny Rediger konfigurasjon alternativet.

                                                                                                                                                  4

                                                                                                                                                  Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden må ha en intern IP-adresse og DNS-navn. DHCP støttes ikke.

                                                                                                                                                  5

                                                                                                                                                  (Valgfritt) Endre vertsnavnet, domenet eller NTP-server(e) om nødvendig for å samsvare med nettverkspolicyen din.

                                                                                                                                                  Du trenger ikke å angi at domenet skal samsvare med domenet du brukte til å hente X.509-sertifikatet.

                                                                                                                                                  6

                                                                                                                                                  Lagre nettverkskonfigurasjon og start den virtuelle maskinen på nytt slik at endringene trer i kraft.

                                                                                                                                                  Last opp og monter HDS-konfigurasjons-ISO

                                                                                                                                                  Bruk denne fremgangsmåten til å konfigurere den virtuell maskin fra ISO-filen du opprettet med HDS-installasjonsverktøyet.

                                                                                                                                                  Før du starter

                                                                                                                                                  Siden ISO-filen inneholder hovednøkkelen, bør den bare vises på en «trenger å vite»-basis, for tilgang for de virtuelle hybriddatasikkerhets-ene og alle administratorer som måtte trenge å gjøre endringer. Kontroller at bare disse administratorene har tilgang til datalageret.

                                                                                                                                                  1

                                                                                                                                                  Last opp ISO-filen fra datamaskinen:

                                                                                                                                                  1. I venstre navigasjonspanel i VMware vSphere-klienten klikker du på ESXi-serveren.

                                                                                                                                                  2. I maskinvarelisten i kategorien Konfigurasjon klikker du på Oppbevaring .

                                                                                                                                                  3. I Datalager-listen høyreklikk du på datalageret for de virtuelle maskinene og klikker Bla gjennom datalager .

                                                                                                                                                  4. Klikk på Last opp filer-ikonet, og klikk deretter på Last opp fil .

                                                                                                                                                  5. Bla til stedet der du lastet ned ISO-filen på datamaskinen, og klikk på Åpne .

                                                                                                                                                  6. Klikk på Ja for å godta advarselen om opplasting/nedlasting, og lukke dialogboksen for datalager.

                                                                                                                                                  2

                                                                                                                                                  Monter ISO-filen:

                                                                                                                                                  1. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

                                                                                                                                                  2. Klikk på OK for å godta advarselen om begrensede redigeringsalternativer.

                                                                                                                                                  3. Klikk CD/DVD Drive 1, velger du alternativet for å montere fra en ISO-fil for datalager, og går til stedet der du lastet opp ISO-konfigurasjonsfilen.

                                                                                                                                                  4. Sjekk Tilkoblet og Koble til når strømmen er på .

                                                                                                                                                  5. Lagre endringene og start den virtuell maskin på nytt.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Hvis IT-retningslinjene krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene dine har registrert konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.

                                                                                                                                                  Konfigurere HDS-noden for proxy-integrasjon

                                                                                                                                                  Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybriddatasikkerhet. Hvis du velger en gjennomsiktig inspeksjonsproxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet og feilsøke eventuelle problemer.

                                                                                                                                                  Før du starter

                                                                                                                                                  1

                                                                                                                                                  Angi URL-adressen til oppsett av HDS-node https://[HDS Node IP or FQDN]/setup i en nettleser skriver du inn administratorlegitimasjonen du konfigurerte for noden, og klikker deretter Logg på .

                                                                                                                                                  2

                                                                                                                                                  Gå til Klareringslager og proxy, og velg deretter et alternativ:

                                                                                                                                                  • Ingen proxy – Standardalternativet før du integrerer en proxy. Ingen sertifikatoppdatering er nødvendig.
                                                                                                                                                  • Gjennomsiktig ikke-inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse, og bør ikke trenge endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
                                                                                                                                                  • Gjennomsiktig inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTPS-konfigurasjon er nødvendig for distribusjonen av hybriddatasikkerhet, men HDS-nodene trenger et rotsertifikat slik at de klarerer proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer om hvilke nettsteder som kan besøkes, og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
                                                                                                                                                  • Eksplisitt proxy – Med eksplisitt proxy forteller du klienten (HDS-noder) hvilken proxy-server som skal brukes, og dette alternativet støtter flere godkjenningstyper. Når du har valgt dette alternativet, må du angi følgende informasjon:
                                                                                                                                                    1. Proxy IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

                                                                                                                                                    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

                                                                                                                                                    3. Proxy-protokoll – Velg http (viser og kontrollerer alle forespørsler som mottas fra klienten) eller https (gir en kanal til serveren, og klienten mottar og validerer serverens sertifikat). Velg et alternativ basert på hva proxy-serveren støtter.

                                                                                                                                                    4. Godkjenningstype – Velg blant følgende godkjenningstyper:

                                                                                                                                                      • Ingen – Ingen ytterligere godkjenning er nødvendig.

                                                                                                                                                        Tilgjengelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                      • Grunnleggende – Brukes for en HTTP-brukeragent til å angi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

                                                                                                                                                        Tilgjengelig for HTTP- eller HTTPS-proxyer.

                                                                                                                                                        Hvis du velger dette alternativet, må du også skrive inn brukernavn og passord.

                                                                                                                                                      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

                                                                                                                                                        Bare tilgjengelig for HTTPS-proxyer.

                                                                                                                                                        Hvis du velger dette alternativet, må du også skrive inn brukernavn og passord.

                                                                                                                                                  Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en HTTP-eksplisitt proxy med enkel godkjenning eller en eksplisitt HTTPS-proxy.

                                                                                                                                                  3

                                                                                                                                                  Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen.

                                                                                                                                                  Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på vinkeltegnpilen ved navnet på sertifikatutstederen for å få flere detaljer, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt.

                                                                                                                                                  4

                                                                                                                                                  Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen.

                                                                                                                                                  Hvis tilkoblingstesten mislykkes, ser du en feilmelding som viser årsaken og hvordan du kan løse problemet.

                                                                                                                                                  Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne betingelsen forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene, og deretter ser du Slå av blokkert ekstern DNS-oppløsningsmodus .

                                                                                                                                                  5

                                                                                                                                                  Etter at tilkoblingstesten blir bestått, kun for eksplisitt proxy satt til https, setter du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen trer i kraft etter 15 sekunder.

                                                                                                                                                  6

                                                                                                                                                  Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en HTTP-eksplisitt proxy), les ledeteksten, og klikk deretter på Installer hvis du er klar.

                                                                                                                                                  Noden starter på nytt i løpet av noen få minutter.

                                                                                                                                                  7

                                                                                                                                                  Når noden har startet på nytt, logger du på igjen om nødvendig, og deretter åpner du Oversikt-siden for å kontrollere tilkoblingskontrollene for å sikre at alle har grønn status.

                                                                                                                                                  Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det oppstår tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen.

                                                                                                                                                  Registrer den første noden i klyngen

                                                                                                                                                  Denne oppgaven tar den generelle noden du opprettet i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen , registrerer noden med Webex-skyen og gjør den om til en hybrid datasikkerhetsnode.

                                                                                                                                                  Når du registrerer den første noden, oppretter du en klynge som noden er tilordnet. En klynge inneholder én eller flere noder distribuert for å gi redundans.

                                                                                                                                                  Før du starter

                                                                                                                                                  • Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.

                                                                                                                                                  • Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Logg på https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  Fra menyen på venstre side av skjermen velger du Tjenester .

                                                                                                                                                  3

                                                                                                                                                  I delen Hybridtjenester finner du Hybrid Data Security og klikker på Konfigurer .

                                                                                                                                                  Siden Registrer hybrid node for datasikkerhet vises.
                                                                                                                                                  4

                                                                                                                                                  Velg Ja for å indikere at du har satt opp noden og er klar til å registrere den, og klikk deretter på Neste .

                                                                                                                                                  5

                                                                                                                                                  I det første feltet skriver du inn et navn på klyngen du vil tilordne Hybrid Data Security-noden til.

                                                                                                                                                  Vi anbefaler at du gir navn til en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: «San Francisco» eller «New York» eller «Dallas»

                                                                                                                                                  6

                                                                                                                                                  I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste .

                                                                                                                                                  Denne IP-adresse eller FQDN må samsvare med IP-adresse eller vertsnavnet og domenet du brukte i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen .

                                                                                                                                                  Det vises en melding som angir at du kan registrere noden til Webex.
                                                                                                                                                  7

                                                                                                                                                  Klikk på Gå til Node .

                                                                                                                                                  8

                                                                                                                                                  Klikk på Fortsett i advarselsmelding.

                                                                                                                                                  Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til Webex-organisasjonen din for å få tilgang til noden.
                                                                                                                                                  9

                                                                                                                                                  Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett .

                                                                                                                                                  Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
                                                                                                                                                  10

                                                                                                                                                  Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden.

                                                                                                                                                  Hybrid datasikkerhet side, vises den nye klyngen som inneholder noden du registrerte. Noden vil automatisk laste ned den nyeste programvaren fra skyen.

                                                                                                                                                  Opprett og registrer flere noder

                                                                                                                                                  Hvis du vil legge til flere noder i klyngen, oppretter du ganske enkelt flere virtuelle datamaskiner og monterer den samme ISO-konfigurasjonsfilen, og deretter registrerer du noden. Vi anbefaler at du har minst 3 noder.

                                                                                                                                                   

                                                                                                                                                  På dette tidspunktet er de virtuelle sikkerhetskopiene-ene du opprettet i Fullfør forutsetningene for hybrid datasikkerhet er standby-verter som bare brukes i tilfelle katastrofegjenoppretting; de er ikke registrert i systemet før da. Hvis du vil ha mer informasjon, se Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus .

                                                                                                                                                  Før du starter

                                                                                                                                                  • Når du starter registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.

                                                                                                                                                  • Kontroller at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA .

                                                                                                                                                  2

                                                                                                                                                  Konfigurer den første konfigurasjonen på den nye virtuelle maskinen, og gjenta trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen .

                                                                                                                                                  3

                                                                                                                                                  Gjenta trinnene i den nye VM-en Last opp og monter HDS-konfigurasjons-ISO .

                                                                                                                                                  4

                                                                                                                                                  Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrering etter behov for den nye noden.

                                                                                                                                                  5

                                                                                                                                                  Registrer noden.

                                                                                                                                                  1. Ihttps://admin.webex.com , velger du Tjenester fra menyen på venstre side av skjermen.

                                                                                                                                                  2. I delen Hybridtjenester finner du Hybrid Data Security-kortet og klikker på Ressurser .

                                                                                                                                                    Siden for hybriddatasikkerhetsressurser vises.
                                                                                                                                                  3. Klikk på Legg til ressurs .

                                                                                                                                                  4. I det første feltet velger du navnet på den eksisterende klyngen.

                                                                                                                                                  5. I det andre feltet skriver du inn den interne IP-adresse eller det fullt kvalifisert domenenavn (FQDN) til noden din, og klikker på Neste .

                                                                                                                                                    Det vises en melding som angir at du kan registrere noden i Webex-skyen.
                                                                                                                                                  6. Klikk på Gå til Node .

                                                                                                                                                    Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelser til organisasjonen din for å få tilgang til noden.
                                                                                                                                                  7. Sjekk Gi tilgang til hybriddatasikkerhetsnoden avkrysningsboksen, og klikk deretter på Fortsett .

                                                                                                                                                    Kontoen din er validert, og meldingen «Registrering fullført» angir at noden nå er registrert i Webex-skyen.
                                                                                                                                                  8. Klikk på koblingen eller lukk fanen for å gå tilbake til Control Hub Hybrid Data Security-siden.

                                                                                                                                                  Noden din er registrert. Merk at frem til du starter en prøveversjon, genererer nodene en alarm som indikerer at tjenesten din ennå ikke er aktivert.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Kjør en prøveversjon og gå til produksjon (neste kapittel)
                                                                                                                                                  Kjør en prøveversjon og gå til produksjon

                                                                                                                                                  Oppgaveflyt fra prøveversjon til produksjon

                                                                                                                                                  Når du har konfigurert en Hybrid Data Security-klynge, kan du starte en pilot, legge til brukere i den og begynne å bruke den til testing og bekreftelse av distribusjonen som forberedelse til overgang til produksjon.

                                                                                                                                                  1

                                                                                                                                                  Hvis det er aktuelt, synkroniserer du HdsTrialGroup gruppeobjekt.

                                                                                                                                                  Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktiver prøveversjon

                                                                                                                                                  Start en prøveversjon. Frem til du gjør denne oppgaven, genererer nodene en alarm som indikerer at tjenesten ennå ikke er aktivert.

                                                                                                                                                  3

                                                                                                                                                  Test hybriddistribusjonen av datasikkerhet

                                                                                                                                                  Kontroller at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.

                                                                                                                                                  4

                                                                                                                                                  Overvåke helse for hybrid datasikkerhet

                                                                                                                                                  Sjekk status, og konfigurer e-postvarsler for alarmer.

                                                                                                                                                  5

                                                                                                                                                  Legg til eller fjern brukere fra prøveversjonen

                                                                                                                                                  6

                                                                                                                                                  Fullfør prøveperioden med én av følgende handlinger:

                                                                                                                                                  Aktiver prøveversjon

                                                                                                                                                  Før du starter

                                                                                                                                                  Hvis organisasjonen din bruker katalogsynkronisering for brukere, må du velge HdsTrialGroup gruppeobjekt for synkronisering til skyen før du kan starte en prøveversjon for organisasjonen. Hvis du vil ha instruksjoner, se Distribusjonsveiledning for Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Logg påhttps://admin.webex.com , og velg deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security klikker du på Innstillinger .

                                                                                                                                                  3

                                                                                                                                                  I delen Tjenestestatus klikker du på Start prøveversjonen .

                                                                                                                                                  Tjenestestatusen endres til prøveversjonsmodus.
                                                                                                                                                  4

                                                                                                                                                  Klikk på Legg til brukere og angi e-postadresse til én eller flere brukere for å prøve å bruke Hybrid Data Security-nodene for kryptering og indekseringstjenester.

                                                                                                                                                  (Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory til å administrere prøvegruppen, HdsTrialGroup.)

                                                                                                                                                  Test hybriddistribusjonen av datasikkerhet

                                                                                                                                                  Bruk denne fremgangsmåten til å teste krypteringsscenarier med Hybrid Data Security.

                                                                                                                                                  Før du starter

                                                                                                                                                  • Konfigurer Hybrid Data Security-distribusjonen.

                                                                                                                                                  • Aktiver prøveversjonen, og legg til flere prøveversjonsbrukere.

                                                                                                                                                  • Kontroller at du har tilgang til syslog for å bekrefte at nøkkelforespørsler sendes til Hybrid Data Security-distribusjonen.

                                                                                                                                                  1

                                                                                                                                                  Taster for et gitt område angis av oppretteren av området. Logg på Webex-appen som én av pilotbrukerne, og opprett deretter et område og inviter minst én pilotbruker og én ikke-pilotbruker.


                                                                                                                                                   

                                                                                                                                                  Hvis du deaktiverer Hybrid Data Security-distribusjonen, er ikke innhold i områder som pilotbrukere oppretter lenger tilgjengelig når de klientbufrede kopiene av krypteringsnøklene er erstattet.

                                                                                                                                                  2

                                                                                                                                                  Send meldinger til det nye området.

                                                                                                                                                  3

                                                                                                                                                  Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til Hybrid Data Security-distribusjonen.

                                                                                                                                                  1. Hvis du vil se etter en bruker som først oppretter en sikker kanal til KMS, filtrerer du på kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Du bør finne en oppføring som følgende (identifikatorer forkortet for lesbarhet):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Hvis du vil se etter en bruker som ber om en eksisterende nøkkel fra KMS, filtrerer du på kms.data.method=retrieve og kms.data.type=KEY:

                                                                                                                                                    Du bør finne en oppføring som:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Hvis du vil se etter en bruker som ber om å opprette en ny KMS-nøkkel, filtrerer du på kms.data.method=create og kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Du bør finne en oppføring som:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Hvis du vil se etter en bruker som ber om opprettelse av et nytt KMS-ressursobjekt (KRO) når et område eller en annen beskyttet ressurs opprettes, filtrerer du på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Du bør finne en oppføring som:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Overvåke helse for hybrid datasikkerhet

                                                                                                                                                  En statusindikator i Control Hub viser deg om alt er bra med Hybrid Data Security-distribusjonen. Registrer deg for e-postvarsler for mer proaktiv varsling. Du blir varslet når det er tjenestepåvirkende alarmer eller programvareoppgraderinger.
                                                                                                                                                  1

                                                                                                                                                  I Kontrollhub , velger du Tjenester fra menyen på venstre side av skjermen.

                                                                                                                                                  2

                                                                                                                                                  I delen Hybridtjenester finner du Hybrid Data Security og klikker på Innstillinger .

                                                                                                                                                  Siden Innstillinger for hybrid datasikkerhet vises.
                                                                                                                                                  3

                                                                                                                                                  I delen E-postvarsler skriver du inn én eller flere e-postadresser atskilt med komma, og trykker på Gå inn .

                                                                                                                                                  Legg til eller fjern brukere fra prøveversjonen

                                                                                                                                                  Når du har aktivert en prøveversjon og lagt til det første settet med prøveversjonsbrukere, kan du legge til eller fjerne prøveversjonsmedlemmer når som helst mens prøveversjonen er aktiv.

                                                                                                                                                  Hvis du fjerner en bruker fra prøveversjonen, vil brukerens klient be om å opprette nøkler og nøkler fra KMS-skyen i stedet for KMS-en din. Hvis klienten trenger en nøkkel som er lagret på KMS-en, vil KMS-en i skyen hente den på brukerens vegne.

                                                                                                                                                  Hvis organisasjonen din bruker katalogsynkronisering, bruker du Active Directory (i stedet for denne prosedyren) til å administrere prøvegruppen, HdsTrialGroup; du kan vise gruppemedlemmene i Control Hub, men kan ikke legge til eller fjerne dem.

                                                                                                                                                  1

                                                                                                                                                  Logg på Control Hub, og velg deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security klikker du på Innstillinger .

                                                                                                                                                  3

                                                                                                                                                  I delen Prøvemodus i området Tjenestestatus klikker du på Legg til brukere , eller klikk vise og redigere for å fjerne brukere fra prøveversjonen.

                                                                                                                                                  4

                                                                                                                                                  Skriv inn e-postadresse til én eller flere brukere som skal legges til, eller klikk på X av en bruker-ID for å fjerne brukeren fra prøveversjonen. Klikk deretter på Lagre.

                                                                                                                                                  Gå fra prøveversjon til produksjon

                                                                                                                                                  Når du er fornøyd med at distribusjonen fungerer bra for prøveversjonsbrukerne, kan du gå over til produksjon. Når du går over til produksjon, vil alle brukere i organisasjonen bruke det lokale Hybrid Data Security-domenet for krypteringsnøkler og andre sikkerhetstjenester. Du kan ikke gå tilbake til prøvemodus fra produksjon med mindre du deaktiverer tjenesten som en del av katastrofegjenoppretting. Reaktivering av tjenesten krever at du konfigurerer en ny prøveversjon.
                                                                                                                                                  1

                                                                                                                                                  Logg på Control Hub, og velg deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security klikker du på Innstillinger .

                                                                                                                                                  3

                                                                                                                                                  I delen Tjenestestatus klikker du på Flytt til produksjon .

                                                                                                                                                  4

                                                                                                                                                  Bekreft at du vil flytte alle brukerne til produksjon.

                                                                                                                                                  Avslutt prøveversjonen uten å gå til produksjon

                                                                                                                                                  Hvis du i løpet av prøveperioden bestemmer deg for ikke å fortsette med distribusjonen av Hybrid Data Security, kan du deaktivere Hybrid Data Security, som avslutter prøveversjonen og flytter prøveversjonsbrukerne tilbake til skydatasikkerhetstjenestene. Prøveversjonsbrukerne mister tilgangen til dataene som ble kryptert under prøveversjonen.
                                                                                                                                                  1

                                                                                                                                                  Logg på Control Hub, og velg deretter Tjenester .

                                                                                                                                                  2

                                                                                                                                                  Under Hybrid Data Security klikker du på Innstillinger .

                                                                                                                                                  3

                                                                                                                                                  I Deaktiver-delen klikker du på Deaktiver .

                                                                                                                                                  4

                                                                                                                                                  Bekreft at du vil deaktivere tjenesten og avslutte prøveversjonen.

                                                                                                                                                  Administrer HDS-distribusjonen

                                                                                                                                                  Behandle HDS-distribusjon

                                                                                                                                                  Bruk oppgavene som er beskrevet her, til å administrere Hybrid Data Security-distribusjonen.

                                                                                                                                                  Angi tidsplan for klyngeoppgradering

                                                                                                                                                  Programvareoppgraderinger for Hybrid Data Security gjøres automatisk på klyngenivå, noe som sikrer at alle noder alltid kjører den samme programvareversjon. Oppgraderinger utføres i henhold til oppgraderingsplanen for klyngen. Når en programvareoppgradering blir tilgjengelig, har du muligheten til å oppgradere klyngen manuelt før planlagt oppgraderingstid. Du kan angi en bestemt oppgraderingsplan eller bruke standardplanen for 03:00 daglig USA: Amerika/Los Angeles. Du kan også velge å utsette en kommende oppgradering om nødvendig.

                                                                                                                                                  Slik angir du oppgraderingsplanen:

                                                                                                                                                  1

                                                                                                                                                  Logg på Kontrollhub .

                                                                                                                                                  2

                                                                                                                                                  På Oversikt-siden, under Hybridtjenester, velger du Hybrid datasikkerhet .

                                                                                                                                                  3

                                                                                                                                                  Velg klyngen på siden Hybriddatasikkerhetsressurser.

                                                                                                                                                  4

                                                                                                                                                  I Oversikt-panelet til høyre, under Klyngeinnstillinger, velger du klyngenavnet.

                                                                                                                                                  5

                                                                                                                                                  På Innstillinger-siden, under Oppgradering, velger du tid og tidssone for oppgraderingsplanen.

                                                                                                                                                  Merk: Under tidssone vises dato og klokkeslett for neste tilgjengelige oppgradering. Du kan om nødvendig utsette oppgraderingen til neste dag ved å klikke på Utsette .

                                                                                                                                                  Endre nodekonfigurasjonen

                                                                                                                                                  Noen ganger kan det hende at du må endre konfigurasjonen for Hybrid Data Security-noden av en årsak som:
                                                                                                                                                  • Endring av x.509-sertifikater på grunn av utløpsdato eller andre årsaker.


                                                                                                                                                     

                                                                                                                                                    Vi støtter ikke endring av CN- domenenavn for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.

                                                                                                                                                  • Oppdaterer databaseinnstillinger for å endre til en replika av PostgreSQL- eller Microsoft SQL Server-databasen.


                                                                                                                                                     

                                                                                                                                                    Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt vei. Hvis du vil bytte databasemiljø, starter du en ny distribusjon av Hybrid Data Security.

                                                                                                                                                  • Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.

                                                                                                                                                  Av sikkerhetsmessige årsaker bruker Hybriddata-sikkerhet passord som har en levetid på ni måneder på tjenestekontoer. HDS-installasjonsverktøyet genererer disse passordene, og du distribuerer dem til hver av HDS-nodene dine som en del av ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløp, mottar du et «Varsel om utløp av passord» fra Webex-teamet, der du blir bedt om å tilbakestille passordet for maskinkontoen. (E-posten inneholder teksten «Bruk maskinkontoens API til å oppdatere passordet.») Hvis passordene ikke er utløpt ennå, gir verktøyet deg to alternativer:

                                                                                                                                                  • Myk tilbakestilling – Det gamle og det nye passordet fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.

                                                                                                                                                  • Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.

                                                                                                                                                  Hvis passordene dine utløper uten en tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.

                                                                                                                                                  Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.

                                                                                                                                                  Før du starter

                                                                                                                                                  • Installasjonsverktøyet for HDS kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administrator for organisasjonen.

                                                                                                                                                    Hvis installasjonsverktøyet for HDS kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du henter opp Docker-beholderen i 1.e . Denne tabellen viser noen mulige miljøvariabler:

                                                                                                                                                    Beskrivelse

                                                                                                                                                    Variabel

                                                                                                                                                    HTTP-proxy uten autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy uten autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    HTTP-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    HTTPS-proxy med autentisering

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO-en inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO-en når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i autorisasjonspolicy.

                                                                                                                                                  1

                                                                                                                                                  Kjør HDS-konfigureringsverktøyet via Docker på en lokal maskin.

                                                                                                                                                  1. På maskinens kommandolinje skriver du inn riktig kommando for miljøet ditt:

                                                                                                                                                    I vanlige miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Dette trinnet rydder opp i tidligere bilder av HDS-oppsettverktøyet. Hvis det ikke finnes noen tidligere bilder, returnerer den en feil som du kan ignorere.

                                                                                                                                                  2. Hvis du vil logge på Docker-bilderegisteret, skriver du inn følgende:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Når du blir bedt om passord, skriver du inn denne hashen:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Last ned det nyeste stabile bildet for miljøet ditt:

                                                                                                                                                    I vanlige miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    I FedRAMP-miljøer:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Sørg for at du bruker det nyeste installasjonsverktøyet for denne prosedyren. Versjoner av verktøyet som er opprettet før 22. februar 2018, har ikke skjermbildene for tilbakestilling av passord.

                                                                                                                                                  5. Når pull-en er fullført, skriver du inn riktig kommando for miljøet ditt:

                                                                                                                                                    • I vanlige miljøer uten proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanlige miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I vanlige miljøer med en HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • I FedRAMP-miljøer uten en proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTP-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • I FedRAMP-miljøer med en HTTPS-proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Når beholderen kjører, ser du «Ekspressserver som lytter på port 8080».

                                                                                                                                                  6. Bruk en nettleser til å koble til localhost, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Installasjonsverktøyet støtter ikke tilkobling til lokal vert gjennom http://localvert:8080 . Brukhttp://127.0.0.1:8080 for å koble til lokal vert.

                                                                                                                                                  7. Når du blir bedt om det, skriver du inn påloggingslegitimasjonen til kunden i Cisco Webex Control Hub, og klikker på Godta for å fortsette.

                                                                                                                                                  8. Importer ISO-filen for gjeldende konfigurasjon.

                                                                                                                                                  9. Følg instruksjonene for å fullføre verktøyet og laste ned den oppdaterte filen.

                                                                                                                                                    Hvis du vil avslutte konfigureringsverktøyet, skriver du inn CTRL+C.

                                                                                                                                                  10. Opprett en sikkerhetskopi av den oppdaterte ISO-filen i et annet datasenter.

                                                                                                                                                  2

                                                                                                                                                  Hvis du kun kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den via den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, se Opprett og registrer flere noder .

                                                                                                                                                  1. Installer HDS-verten OVA.

                                                                                                                                                  2. Konfigurer HDS VM.

                                                                                                                                                  3. Monter den oppdaterte konfigurasjonsfilen.

                                                                                                                                                  4. Registrer den nye noden i Control Hub.

                                                                                                                                                  3

                                                                                                                                                  For eksisterende HDS-noder som kjører den eldre konfigurasjonsfil, monterer du ISO-filen. Utfør følgende prosedyre på hver node etter tur, og oppdater hver node før du slår av neste node:

                                                                                                                                                  1. Slå av den virtuelle maskinen.

                                                                                                                                                  2. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

                                                                                                                                                  3. Klikk CD/DVD Drive 1 Klikk på CD/DVD-stasjon 1, velg alternativet for montering fra en ISO-fil, og bla til plasseringen der du lastet ned den nye ISO-konfigurasjonsfilen.

                                                                                                                                                  4. Kontroller Koble til ved strøm på.

                                                                                                                                                  5. Lagre endringene og slå på den virtuelle maskinen.

                                                                                                                                                  4

                                                                                                                                                  Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen.

                                                                                                                                                  Deaktiver blokkert ekstern DNS-oppløsningsmodus

                                                                                                                                                  Når du registrerer en node eller kontrollerer nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modusen blokkert ekstern DNS-oppløsning.

                                                                                                                                                  Hvis nodene kan løse offentlige DNS-navn via interne DNS-servere, kan du deaktivere denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.

                                                                                                                                                  Før du starter

                                                                                                                                                  Kontroller at de interne DNS-serverne kan løse offentlige DNS-navn, og at nodene kan kommunisere med dem.
                                                                                                                                                  1

                                                                                                                                                  Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/-oppsett, for eksempel https://192.0.2.0/setup),angi administratorlegitimasjonen du konfigurerte for noden, og klikk deretter på Logg på.

                                                                                                                                                  2

                                                                                                                                                  Gå til Oversikt (standardsiden).

                                                                                                                                                  Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja.

                                                                                                                                                  3

                                                                                                                                                  Gå til siden Klareringslager og proxy.

                                                                                                                                                  4

                                                                                                                                                  Klikk på Kontroller proxy-tilkobling.

                                                                                                                                                  Hvis du får en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og den vil forbli i denne modusen. Ellers, etter at du har startet noden på nytt og gått tilbake til Oversikt-siden, bør Blokkert ekstern DNS-oppløsning settes til Nei.

                                                                                                                                                  Hva nå?

                                                                                                                                                  Gjenta proxy-tilkoblingstesten for hver node i klyngen for hybriddatasikkerhet.

                                                                                                                                                  Fjerne en node

                                                                                                                                                  Bruk denne fremgangsmåten til å fjerne en hybrid datasikkerhetsnode fra Webex-skyen. Når du har fjernet noden fra klyngen, sletter du den virtuell maskin for å forhindre ytterligere tilgang til sikkerhetsdataene dine.
                                                                                                                                                  1

                                                                                                                                                  Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuell maskin.

                                                                                                                                                  2

                                                                                                                                                  Fjern noden:

                                                                                                                                                  1. Logg på Control Hub, og velg deretter Tjenester .

                                                                                                                                                  2. På Hybrid Data Security-kortet klikker du på Vis alle for å vise siden Hybriddatasikkerhetsressurser.

                                                                                                                                                  3. Velg klyngen for å vise oversiktspanelet.

                                                                                                                                                  4. Klikk på Åpne nodeliste .

                                                                                                                                                  5. Velg noden du vil fjerne, i Noder-fanen.

                                                                                                                                                  6. Klikk på Handlinger > Avregistrere node .

                                                                                                                                                  3

                                                                                                                                                  Slett den virtuelle maskinen i vSphere-klienten. (I venstre navigasjonsrute høyreklikk du på den virtuelle maskinen og klikker Slett .)

                                                                                                                                                  Hvis du ikke sletter den virtuelle maskinen, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke den virtuelle maskinen til å få tilgang til sikkerhetsdataene dine.

                                                                                                                                                  Gjenoppretting ved katastrofe ved hjelp av Data Center i ventemodus

                                                                                                                                                  Den mest kritiske tjenesten Hybrid Data Security-klyngen tilbyr, er opprettelse og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet Hybrid Data Security, rutes nye forespørsler om å opprette nøkkel til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til alle brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.

                                                                                                                                                  Siden klyngen utfører den kritiske funksjonen med å oppgi disse nøklene, er det viktig at klyngen fortsetter å kjøre og at forsvarlige sikkerhetskopier opprettholdes. Tap av Hybrid Data Security-databasen eller av ISO-konfigurasjonen som ble brukt for skjemaet, vil føre til TAP av kundeinnhold som ikke kan gjenopprettes. Følgende fremgangsmåter er obligatoriske for å forhindre slikt tap:

                                                                                                                                                  Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenter blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til datasenter i ventemodus.

                                                                                                                                                  1

                                                                                                                                                  Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene .

                                                                                                                                                  2

                                                                                                                                                  Når du har konfigurert Syslogd-serveren, klikker du på Avanserte innstillinger

                                                                                                                                                  3

                                                                                                                                                  Avanserte innstillinger side, legger du til konfigurasjonen nedenfor eller fjerner passiveMode konfigurasjon for å gjøre noden aktiv. Noden kan håndtere trafikk når dette er konfigurert.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne.

                                                                                                                                                  5

                                                                                                                                                  Ta en sikkerhetskopi av ISO-filen på det lokale systemet. Oppbevar sikkerhetskopien på en sikker måte. Denne filen inneholder en krypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de Hybrid Data Security-administratorene som skal gjøre konfigurasjonsendringer.

                                                                                                                                                  6

                                                                                                                                                  I venstre navigasjonsrute i VMware vSphere-klienten høyreklikk du på den virtuelle maskinen og klikker Rediger innstillinger. .

                                                                                                                                                  7