I denne artikkelen
dropdown icon
Ny og endret informasjon
    Ny og endret informasjon
dropdown icon
Kom i gang med hybrid datasikkerhet for flere leietakere
    dropdown icon
    Oversikt over hybrid datasikkerhet for flere leietakere
      Hvordan hybrid datasikkerhet med flere leietakere gir datasuverenitet og datakontroll
      Begrensninger ved hybrid datasikkerhet for flere leietakere
      Roller i hybrid datasikkerhet med flere leietakere
    dropdown icon
    Sikkerhetsrikets arkitektur
      Realms of Separation (uten hybrid datasikkerhet)
    Samarbeid med andre organisasjoner
    Forventninger til implementering av hybrid datasikkerhet
    Høynivåoppsettprosess
    dropdown icon
    Hybrid distribusjonsmodell for datasikkerhet
      Hybrid distribusjonsmodell for datasikkerhet
    dropdown icon
    Standby-datasenter for katastrofegjenoppretting
      Manuell failover til standby-datasenter
    Proxy-støtte
dropdown icon
Forbered miljøet ditt
    dropdown icon
    Krav til hybrid datasikkerhet for flere leietakere
      Krav til Cisco Webex-lisens
      Krav til Docker-skrivebordet
      Krav til X.509-sertifikat
      Krav til virtuelle verter
      Krav til databaseserver
      Krav til eksterne tilkoblinger
      Krav til proxy-server
    Fullfør forutsetningene for hybrid datasikkerhet
dropdown icon
Konfigurer en hybrid datasikkerhetsklynge
    Oppgaveflyt for distribusjon av hybrid datasikkerhet
    Utfør første oppsett og last ned installasjonsfiler
    Opprett en konfigurasjons-ISO for HDS-vertene
    Installer HDS Host OVA
    Konfigurer den hybride virtuelle datamaskinen for datasikkerhet
    Last opp og monter HDS-konfigurasjons-ISO-en
    Konfigurer HDS-noden for proxy-integrasjon
    Registrer den første noden i klyngen
    Opprett og registrer flere noder
dropdown icon
Administrer leietakerorganisasjoner på hybrid datasikkerhet for flere leietakere
    Aktiver flerleietaker-HDS på partnerhub
    Legg til leietakerorganisasjoner i Partner Hub
    Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-oppsettverktøyet
    Fjern leietakerorganisasjoner
    Tilbakekall CMK-er for leietakere som er fjernet fra HDS.
dropdown icon
Test hybrid datasikkerhetsdistribusjonen din
    Test din hybride datasikkerhetsimplementering
    Overvåk hybrid datasikkerhetshelse
dropdown icon
Administrer HDS-distribusjonen din
    Administrer HDS-distribusjon
    Angi en tidsplan for klyngeoppgradering
    Endre nodekonfigurasjonen
    Slå av blokkert ekstern DNS-oppløsningsmodus
    Fjern en node
    Katastrofegjenoppretting ved bruk av standby-datasenter
    (Valgfritt) Avmonter ISO etter HDS-konfigurasjon
dropdown icon
Feilsøking av hybrid datasikkerhet
    Vis varsler og feilsøk
    dropdown icon
    Varsler
      Vanlige problemer og fremgangsmåten for å løse dem
    Feilsøking av hybrid datasikkerhet
dropdown icon
Andre notater
    Kjente problemer for hybrid datasikkerhet
    Kjør HDS Setup-verktøyet med Podman Desktop
    dropdown icon
    Flytt den eksisterende HDS-distribusjonen med én leietaker fra en partnerorganisasjon i Control Hub til et HDS-oppsett med flere leietakere i Partner Hub
      Deaktiver HDS, avregistrer noder og slett klynge i Control Hub
      Aktiver Multi-Tenant HDS for partnerorganisasjonen på Partner Hub og legg til kunder
    Bruk OpenSSL til å generere en PKCS12-fil
    Trafikk mellom HDS-nodene og skyen
    dropdown icon
    Konfigurer Squid-proxyer for hybrid datasikkerhet
      Websocket kan ikke koble til via Squid-proxyen
dropdown icon
Deaktiver hybrid datasikkerhet for flere leietakere
    Oppgaveflyt for deaktivering av HDS for flere leietakere
22. mai 2025 | 6 visning(er) | 0 personer syntes dette var nyttig

Distribusjonsveiledning for hybrid datasikkerhet (HDS) med flere leietakere (Beta)

list-menuI denne artikkelen
list-menuTilbakemelding?

Ny og endret informasjon

Ny og endret informasjon

Denne tabellen dekker nye funksjoner eller funksjonalitet, endringer i eksisterende innhold og eventuelle store feil som ble løst i distribusjonsveiledningen for hybriddatasikkerhet for flere leietakere.

Dato

Endringer gjort

13. desember 2024

Første utgivelse.

Deaktivere hybriddatasikkerhet for flere leietakere

Oppgaveflyt for deaktivering av HDS for flere leietakere

Følg disse trinnene for å deaktivere HDS for flere leietakere fullstendig.

Før du begynner

Denne oppgaven skal bare utføres av en fullstendig partneradministrator.
1

Fjern alle kunder fra alle klyngene dine, som nevnt i Fjern leietakerorganisasjoner.

2

Tilbakekall CMK-er for alle kunder, som nevnt i Tilbakekall CMK-er for leiere som er fjernet fra HDS..

3

Fjern alle noder fra alle klyngene dine, som nevnt i Fjern en node.

4

Slett alle klyngene dine fra Partner Hub ved hjelp av én av følgende to metoder.

  • Klikk på klyngen du vil slette, og velg Slett denne klyngen øverst til høyre på oversiktssiden.
  • På Ressurser-siden klikker du på … til høyre for en klynge, og velger Fjern klynge.
5

Klikk på fanen Innstillinger på oversiktssiden for hybriddatasikkerhet, og klikk på Deaktiver HDS på HDS-statuskortet.

Kom i gang med hybriddatasikkerhet for flere leietakere

Oversikt over hybriddatasikkerhet for flere leietakere

Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er innholdskryptering fra ende-til-ende, aktivert av Webex-appklienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografiske nøkler som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.

Som standard får alle Webex-appkunder ende-til-ende-kryptering med dynamiske nøkler lagret i skyen KMS, i Ciscos sikkerhetsområde. Hybrid Data Security flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, så ingen andre enn deg har nøklene til ditt krypterte innhold.

Hybriddatasikkerhet med flere leietakere gjør det mulig for organisasjoner å utnytte HDS gjennom en klarert lokal partner, som kan fungere som tjenesteleverandør og administrere lokal kryptering og andre sikkerhetstjenester. Dette oppsettet gjør det mulig for partnerorganisasjonen å ha full kontroll over distribusjon og administrasjon av krypteringsnøkler og sikrer at brukerdata fra kundeorganisasjoner er trygge mot ekstern tilgang. Partnerorganisasjoner setter opp HDS-forekomster og oppretter HDS-klynger etter behov. Hver forekomst kan støtte flere kundeorganisasjoner i motsetning til en vanlig HDS-distribusjon som er begrenset til én enkelt organisasjon.

Selv om partnerorganisasjoner har kontroll over distribusjon og administrasjon, har de ikke tilgang til data og innhold som genereres av kunder. Denne tilgangen er begrenset til kundeorganisasjoner og deres brukere.

Dette gjør det også mulig for mindre organisasjoner å utnytte HDS, siden tjeneste for nøkkeladministrasjon og sikkerhetsinfrastruktur som datasentre eies av den klarerte lokale partneren.

Hvordan hybriddatasikkerhet for flere leietakere gir datasuverenitet og datakontroll

  • Brukergenerert innhold er beskyttet mot ekstern tilgang, for eksempel skytjenesteleverandører.
  • Lokale klarerte partnere administrerer krypteringsnøklene til kunder de allerede har etablert relasjoner med.
  • Alternativ for lokal teknisk støtte, hvis den leveres av partneren.
  • Støtter innhold i møter, meldinger og anrop.

Dette dokumentet er ment å hjelpe partnerorganisasjoner med å konfigurere og administrere kunder under et hybriddatasikkerhetssystem for flere leietakere.

Roller i hybriddatasikkerhet for flere leietakere

  • Fullstendig partneradministrator – Kan administrere innstillinger for alle kunder som partneren administrerer. Kan også tilordne administratorroller til eksisterende brukere i organisasjonen og tilordne bestemte kunder som skal administreres av partneradministratorer.
  • Partneradministrator – Kan administrere innstillinger for kunder som administratoren har klargjort, eller som er tilordnet brukeren.
  • Fullverdig administrator – Administrator for partnerorganisasjonen som er autorisert til å utføre oppgaver som å endre organisasjonsinnstillinger, administrere lisenser og tilordne roller.
  • Oppsett og administrasjon av HDS med flere leietakere fra ende til ende for alle kundeorganisasjoner – fullstendig partneradministrator og fullstendige administratorrettigheter kreves.
  • Administrasjon av tilordnede leietakerorganisasjoner – Partneradministrator og fullstendige administratorrettigheter kreves.

Sikkerhetsområde arkitektur

Webex-skyarkitekturen skiller forskjellige typer tjenester inn i separate områder, eller klareringsdomener, som vist nedenfor.

Områder for separasjon (uten hybrid datasikkerhet)

For å forstå hybrid datasikkerhet ytterligere, la oss først se på dette rene skytilfellet, der Cisco leverer alle funksjonene i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan være direkte korrelert med sine personopplysninger, for eksempel e-postadresse, er logisk og fysisk adskilt fra sikkerhetsområdet i datasenter B. Begge er i sin tur adskilt fra området der kryptert innhold lagres, i datasenter C.

I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og er godkjent med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:

  1. Klienten oppretter en sikker tilkobling til nøkkeladministrasjonstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikre tilkoblingen bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en hovednøkkel AES-256.

  2. Meldingen krypteres før den forlater klienten. Klienten sender det til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe i fremtidige søk etter innholdet.

  3. Den krypterte meldingen sendes til samsvarstjenesten for kontroll av samsvar.

  4. Den krypterte meldingen lagres i lagringsområdet.

Når du distribuerer hybrid datasikkerhet, flytter du sikkerhetsområdefunksjonene (KMS, indeksering og samsvar) til det lokale datasenteret. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos områder.

Samarbeide med andre organisasjoner

Brukere i organisasjonen kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen din (fordi det ble opprettet av en av brukerne), sender KMS nøkkelen til klienten via en ECDH-sikret kanal. Når en annen organisasjon eier nøkkelen for området, sender KMS imidlertid forespørselen ut til Webex-skyen via en egen ECDH-kanal for å hente nøkkelen fra den aktuelle KMS, og returnerer deretter nøkkelen til brukeren din på den opprinnelige kanalen.

KMS-tjenesten som kjører på Org A, validerer tilkoblingene til KMS i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet hvis du vil ha mer informasjon om hvordan du genererer et x.509-sertifikat som skal brukes med distribusjonen av hybriddatasikkerhet for flere leietakere.

Forventninger til distribusjon av hybrid datasikkerhet

En distribusjon av hybrid datasikkerhet krever betydelig forpliktelse og bevissthet om risikoene som følger med å eie krypteringsnøkler.

For å distribuere hybrid datasikkerhet må du oppgi:

Fullstendig tap av enten konfigurasjons-ISO-en du bygger for hybriddatasikkerhet eller databasen du leverer, vil føre til tap av nøklene. Nøkkeltap hindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:

  • Administrer sikkerhetskopiering og gjenoppretting av databasen og konfigurasjons-ISO.

  • Vær forberedt på å utføre rask katastrofegjenoppretting hvis en katastrofe oppstår, for eksempel databasediskfeil eller datasenterkatastrofe.

Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon.

Oppsettsprosess på høyt nivå

Dette dokumentet dekker oppsettet og administrasjonen av en distribusjon av hybriddatasikkerhet for flere leietakere:

  • Konfigurere hybrid datasikkerhet – Dette inkluderer klargjøring av nødvendig infrastruktur og installering av hybrid datasikkerhetsprogramvare, bygging av en HDS-klynge, tillegging av leierorganisasjoner i klyngen og administrasjon av kundens hovednøkler (CMK-er). Dette vil gjøre det mulig for alle brukere i kundeorganisasjonene dine å bruke den hybride datasikkerhetsklyngen til sikkerhetsfunksjoner.

    Installasjons-, aktiverings- og administrasjonsfasene er beskrevet i detalj i de neste tre kapitlene.

  • Oppretthold distribusjonen av hybrid datasikkerhet – Webex-skyen gir automatisk pågående oppgraderinger. IT-avdelingen din kan gi støtte på nivå én for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke varsler på skjermen og konfigurere e-postbaserte varsler i Partner Hub.

  • Forstå vanlige varsler, feilsøkingstrinn og kjente problemer– Hvis du har problemer med å distribuere eller bruke hybriddatasikkerhet, kan det siste kapitlet i denne veiledningen og vedlegget Kjente problemer hjelpe deg med å finne og løse problemet.

Distribusjonsmodell for hybrid datasikkerhet

I bedriftens datasenter distribuerer du hybrid datasikkerhet som én klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen via sikre websockets og sikre HTTP.

Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere det virtuelle apparatet på VM-ene du leverer. Du bruker HDS-installasjonsverktøyet til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Den hybride datasikkerhetsklyngen bruker den oppgitte Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)

Distribusjonsmodell for hybrid datasikkerhet

Minimum antall noder du kan ha i en klynge, er to. Vi anbefaler minst tre per klynge. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)

Alle noder i en klynge får tilgang til samme nøkkeldatalager og loggaktivitet til samme syslog-server. Nodene selv er statsløse, og håndterer nøkkelforespørsler på rund-robin-modus, som styres av skyen.

Noder blir aktive når du registrerer dem i Partner Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.

Standby Data Center for katastrofegjenoppretting

Under distribusjonen setter du opp et sikkert standbydatasenter. I tilfelle en datasenterkatastrofe, kan du manuelt mislykkes distribusjonen til standbydatasenteret.

Før failover har datasenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-databasen, mens B har en kopi av ISO-filen med ekstra konfigurasjoner, virtuelle maskiner som er registrert i organisasjonen, og en standbydatabase. Etter failover har datasenter B aktive HDS-noder og den primære databasen, mens A har uregistrerte VM-er og en kopi av ISO-filen, og databasen er i standbymodus.
Manuell failover til standby-datasenter

Databasene til de aktive datasentrene og standbydatasentrene er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover.

De aktive nodene for hybriddatasikkerhet må alltid være i samme datasenter som den aktive databaseserveren.

Proxy-støtte

Hybrid Data Security støtter eksplisitte, gjennomsiktige inspeksjons- og ikke-inspeksjons-proxyer. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et plattformadministratorgrensesnitt på nodene for sertifikatadministrasjon og for å kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.

Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:

  • Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Trust Store & Proxy-konfigurasjonen til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.

  • Gjennomsiktig ikke-inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse og bør ikke kreve endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.

  • Gjennomsiktig tunnelering eller inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjonen er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de stoler på proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).

  • Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og godkjenningsskjema som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon på hver node:

    1. Proxy-IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

    3. Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:

      • HTTP – viser og kontrollerer alle forespørsler som klienten sender.

      • HTTPS – Gir en kanal til serveren. Klienten mottar og validerer serverens sertifikat.

    4. Godkjenningstype– velg blant følgende godkjenningstyper:

      • Ingen – ingen ytterligere godkjenning er nødvendig.

        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

      • Grunnleggende – Brukes for en HTTP-brukeragent til å oppgi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

        Krever at du skriver inn brukernavn og passord for hver node.

      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

        Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.

        Krever at du skriver inn brukernavn og passord for hver node.

Eksempel på noder og proxy for hybriddatasikkerhet

Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og eksplisitt HTTPS-inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.

Blokkert ekstern DNS-oppløsningsmodus (eksplisitte proxy-konfigurasjoner)

Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsning-modus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.

Forbered miljøet ditt

Krav til hybriddatasikkerhet for flere leietakere

Krav til Cisco Webex-lisens

Slik distribuerer du hybriddatasikkerhet for flere leietakere:

  • Partnerorganisasjoner: Kontakt din Cisco-partner eller kontoadministrator og sørg for at funksjonen for flere leietakere er aktivert.

  • Leietakerorganisasjoner: Du må ha Pro Pack for Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker-skrivebord

Før du installerer HDS-nodene, trenger du Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig sin lisensieringsmodell. Organisasjonen din kan kreve et betalt abonnement på Docker Desktop. Hvis du vil ha mer informasjon, kan du se innlegget til Docker-bloggen, «Docker oppdaterer og utvider våre produktabonnementer».

X.509-sertifikatkrav

Sertifikatkjeden må oppfylle følgende krav:

Tabell 1. X.509-sertifikatkrav for distribusjon av hybriddatasikkerhet

Krav

Detaljer

  • Signert av en klarert sertifiseringsinstans (CA)

Som standard stoler vi på sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har et Common Name (CN) domenenavn som identifiserer din distribusjon av hybriddatasikkerhet

  • Er ikke et jokertegn

CN trenger ikke å være tilgjengelig eller en direkte vert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel hds.company.com.

CN kan ikke inneholde et * (jokertegn).

CN brukes til å bekrefte nodene for hybriddatasikkerhet til Webex-appklienter. Alle nodene for hybriddatasikkerhet i klyngen bruker det samme sertifikatet. KMS identifiserer seg selv ved hjelp av CN-domenet, ikke et domene som er definert i x.509v3 SAN-feltene.

Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN-domenenavnet.

  • Ikke-SHA1-signatur

KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjons KMS-er.

  • Formatert som en passordbeskyttet PKCS #12-fil

  • Bruk det vennlige navnet på kms-private-key for å tagge sertifikatet, privat nøkkel og eventuelle mellomliggende sertifikater som skal lastes opp.

Du kan bruke en konverter som OpenSSL til å endre sertifikatets format.

Du må angi passordet når du kjører HDS-installasjonsverktøyet.

KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifikatmyndigheter krever at utvidede nøkkelbruksbegrensninger brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.

Krav til virtuell vert

De virtuelle vertene som du vil konfigurere som Hybrid Data Security-noder i klyngen har følgende krav:

  • Minst to separate verter (3 anbefales) plassert i samme sikre datasenter

  • VMware ESXi 6.5 (eller nyere) installert og kjører.

    Du må oppgradere hvis du har en tidligere versjon av ESXi.

  • Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokalt harddiskplass per server

Krav til databaseserver

Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene oppretter databaseskjemaet når de er installert.

Det finnes to alternativer for databaseserver. Kravene til hver av dem er som følger:

Tabell 2. Databaseserverkrav etter type database

PostgreSql

Microsoft SQL Server

  • PostgreSQL 14, 15 eller 16, installert og kjører.

  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installert.

    SQL Server 2016 krever Service Pack 2 og kumulativ oppdatering 2 eller nyere.

Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at det ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at det ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserveren:

PostgreSql

Microsoft SQL Server

Postgres JDBC driver 42.2.5

SQL Server JDBC driver 4.6

Denne driverversjonen støtter SQL Server Always On (Always On Failover Cluster Instances og Always On Availability Groups).

Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server

Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til Keystore-databasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:

  • HDS-nodene, Active Directory-infrastrukturen og MS SQL Server må alle synkroniseres med NTP.

  • Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.

  • DNS-serverne du leverer til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).

  • Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et tjenestehovednavn (SPN) i Active Directory. Se Registrer tjenestens hovednavn for Kerberos-tilkoblinger.

    HDS-installasjonsverktøyet, HDS-oppstartsprogrammet og lokal KMS må bruke Windows-godkjenning for å få tilgang til nøkkelbutikkdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN-en når de ber om tilgang med Kerberos-godkjenning.

Krav til ekstern tilkobling

Konfigurer brannmuren slik at den tillater følgende tilkobling for HDS-programmene:

Applikasjon

Protokoll

Port

Retning fra appen

Destinasjon

Noder for hybriddatasikkerhet

tcp

443

Utgående HTTPS og WSS

  • Webex-servere:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-verter

  • Andre URL-adresser som er oppført for hybriddatasikkerhet i tabellen Ytterligere URL-adresser for Webex-hybridtjenester med Nettverkskrav for Webex-tjenester

HDS-oppsettsverktøy

tcp

443

Utgående HTTPS

  • *.wbx2.com

  • Alle Common Identity-verter

  • hub.docker.com

Nodene for hybriddatasikkerhet fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmuren tillater de nødvendige utgående tilkoblingene til domenet-målene i tabellen ovenfor. Ingen porter skal være synlige fra Internett for tilkoblinger som går inn til nodene for hybriddatasikkerhet. I datasenteret trenger klienter tilgang til nodene for hybriddatasikkerhet på TCP-portene 443 og 22 av administrative grunner.

URL-adressene for Common Identity (CI)-vertene er områdespesifikke. Dette er de gjeldende CI-vertene:

Region

URL-adresser for Common Identity Host

Nord-Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Den europeiske union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

De forente arabiske emirater

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Krav til proxy-server

  • Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene for hybriddatasikkerhet.

    • Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).

    • Eksplisitt proxy – Squid.

      Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre opprettelsen av websocket-tilkoblinger (wss:). Hvis du vil omgå dette problemet, kan du se Konfigurere Squid-proxyer for hybriddatasikkerhet.

  • Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:

    • Ingen godkjenning med HTTP eller HTTPS

    • Grunnleggende godkjenning med HTTP eller HTTPS

    • Digest-godkjenning kun med HTTPS

  • For en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne veiledningen forteller deg hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnodene.

  • Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.

  • Proxyer som inspiserer webtrafikk kan forstyrre Web Socket-tilkoblinger. Hvis dette problemet oppstår, vil det å omgå (ikke inspisere) trafikk til wbx2.com , og ciscospark.com vil løse problemet.

Fullfør forutsetningene for hybrid datasikkerhet

Bruk denne sjekklisten til å sikre at du er klar til å installere og konfigurere den hybride datasikkerhetsklyngen.
1

Sørg for at partnerorganisasjonen din har HDS-funksjonen for flere leietakere aktivert og få legitimasjonen til en konto med fullstendig partneradministrator og fullstendige administratorrettigheter. Påse at Webex-kundeorganisasjonen er aktivert for Pro Pack for Cisco Webex Control Hub. Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen.

Kundeorganisasjoner skal ikke ha noen eksisterende HDS-distribusjon.

2

Velg et domenenavn for HDS-distribusjonen (for eksempel hds.company.com) og hent en sertifikatkjede som inneholder et X.509-sertifikat, privat nøkkel og eventuelle mellomliggende sertifikater. Sertifikatkjeden må oppfylle kravene i X.509 Sertifikatkrav.

3

Klargjør identiske virtuelle verter som du vil konfigurere som Hybrid Data Security-noder i klyngen. Du trenger minst to separate verter (3 anbefales) plassert i samme sikre datasenter, som oppfyller kravene i Krav til virtuelle verter.

4

Klargjør databaseserveren som skal fungere som nøkkeldatalager for klyngen, i henhold til Databaseserverkrav. Databaseserveren må være plassert i det sikre datasenteret med de virtuelle vertene.

  1. Opprett en database for nøkkellagring. (Du må opprette denne databasen – ikke bruk standarddatabasen. HDS-programmene oppretter databaseskjemaet når de er installert.)

  2. Samle inn detaljene som nodene skal bruke til å kommunisere med databaseserveren:

    • vertsnavnet eller IP-adressen (vert) og port

    • navnet på databasen (dbname) for nøkkellagring

    • brukernavnet og passordet til en bruker med alle rettigheter i databasen for nøkkellagring

5

For rask katastrofegjenoppretting konfigurerer du et sikkerhetskopieringsmiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet til VM-er og en sikkerhetskopidatabaseserver. Hvis for eksempel produksjonen har 3 VM-er som kjører HDS-noder, skal sikkerhetskopieringsmiljøet ha 3 VM-er.

6

Sett opp en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadressen og syslog-porten (standard er UDP 514).

7

Opprett en sikker sikkerhetskopieringspolicy for nodene for hybriddatasikkerhet, databaseserveren og syslog-verten. For å forhindre ugjenopprettelig tap av data må du som minimum sikkerhetskopiere databasen og konfigurasjonsfilen som genereres for nodene for hybriddatasikkerhet.

Fordi nodene for hybriddatasikkerhet lagrer nøklene som brukes til kryptering og dekryptering av innhold, vil manglende vedlikehold av en operativ distribusjon føre til UGJENOPPRETTELIG TAP av dette innholdet.

Webex-appklienter bufrer nøklene sine, så det kan hende at et driftsbrudd ikke er umiddelbart merkbart, men vil bli tydelig over tid. Selv om midlertidige avbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopieringer tilgjengelig) av enten databasen eller konfigurasjons-ISO-filen vil imidlertid føre til ugjenopprettbare kundedata. Operatørene av nodene for hybriddatasikkerhet forventes å opprettholde hyppige sikkerhetskopieringer av databasen og konfigurasjonsfilen, og være forberedt på å gjenoppbygge datasenteret for hybriddatasikkerhet hvis det oppstår en katastrofal feil.

8

Kontroller at brannmurkonfigurasjonen tillater tilkobling for hybriddatasikkerhetsnodene som beskrevet i Krav til ekstern tilkobling.

9

Installer Docker ( https://www.docker.com) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til det på http://127.0.0.1:8080.

Du bruker Docker-forekomsten til å laste ned og kjøre HDS-installasjonsverktøyet, som bygger den lokale konfigurasjonsinformasjonen for alle nodene for hybriddatasikkerhet. Du trenger kanskje en Docker Desktop-lisens. Se Krav til Docker Desktop for mer informasjon.

For å installere og kjøre HDS-installasjonsverktøyet må den lokale maskinen ha tilkoblingen beskrevet i Krav til ekstern tilkobling.

10

Hvis du integrerer en proxy med hybriddatasikkerhet, må du sørge for at den oppfyller kravene til proxy-serveren.

Konfigurere en klynge for hybriddatasikkerhet

Oppgaveflyt for distribusjon av hybrid datasikkerhet

Før du begynner

1

Utfør første konfigurasjon og last ned installasjonsfiler

Last ned OVA-filen til din lokale maskin for senere bruk.

2

Opprette en konfigurasjons-ISO for HDS-verter

Bruk HDS-installasjonsverktøyet til å opprette en ISO-konfigurasjonsfil for nodene for hybriddatasikkerhet.

3

Installere HDS Host OVA

Opprett en virtuell maskin fra OVA-filen og utfør første konfigurasjon, for eksempel nettverksinnstillinger.

Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 6.5. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

4

Konfigurere VM for hybriddatasikkerhet

Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA ble distribuert.

5

Laste opp og montere konfigurasjons-ISO for HDS

Konfigurer VM fra ISO-konfigurasjonsfilen du opprettet med HDS-installasjonsverktøyet.

6

Konfigurere HDS-noden for proxy-integrering

Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du hvilken type proxy du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig.

7

Registrer den første noden i klyngen

Registrer VM med Cisco Webex-skyen som en hybrid datasikkerhetsnode.

8

Opprett og registrer flere noder

Fullfør klyngeoppsettet.

9

Aktiver HDS for flere leietakere på Partner Hub.

Aktiver HDS og administrer leierorganisasjoner på Partner Hub.

Utfør første konfigurasjon og last ned installasjonsfiler

I denne oppgaven laster du ned en OVA-fil til maskinen din (ikke til serverne du konfigurerer som Hybrid Data Security-noder). Du bruker denne filen senere i installasjonsprosessen.

1

Logg på Partner Hub, og klikk deretter på Tjenester.

2

Finn kortet for hybriddatasikkerhet under Skytjenester, og klikk deretter på Konfigurer.

3

Klikk på Legg til en ressurs , og klikk på Last ned .OVA-fil på kortet Installer og konfigurer programvare .

Eldre versjoner av programvarepakken (OVA) vil ikke være kompatible med de nyeste oppgraderingene for hybriddatasikkerhet. Dette kan føre til problemer under oppgradering av programmet. Sørg for at du laster ned den nyeste versjonen av OVA-filen.

Du kan også laste ned OVA når som helst fra Hjelp -delen. Klikk på Innstillinger > Hjelp > Last ned programvare for hybriddatasikkerhet.

OVA-filen begynner automatisk å lastes ned. Lagre filen på en plassering på maskinen.
4

Du kan eventuelt klikke på Se distribusjonsveiledning for hybriddatasikkerhet for å sjekke om det finnes en senere versjon av denne veiledningen.

Opprette en konfigurasjons-ISO for HDS-verter

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

Før du begynner
1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

På siden ISO-import har du disse alternativene:

  • Nei– Hvis du oppretter din første HDS-node, har du ikke en ISO-fil å laste opp.
  • Ja – Hvis du allerede har opprettet HDS-noder, velger du ISO-filen din i nettleseren og laster den opp.
10

Kontroller at X.509-sertifikatet oppfyller kravene i X.509-sertifikatkrav.

  • Hvis du aldri har lastet opp et sertifikat før, laster du opp X.509-sertifikatet, skriver inn passordet og klikker på Fortsett.
  • Hvis sertifikatet er OK, klikker du på Fortsett.
  • Hvis sertifikatet har utløpt eller du vil erstatte det, velger du Nei for Fortsett å bruke HDS-sertifikatkjede og privat nøkkel fra forrige ISO?. Last opp et nytt X.509-sertifikat, skriv inn passordet, og klikk på Fortsett.
11

Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret:

  1. Velg Databasetype (PostgreSQL eller Microsoft SQL Server).

    Hvis du velger Microsoft SQL Server, får du et felt for godkjenningstype.

  2. (Kun Microsoft SQL Server ) Velg godkjenningstype:

    • Grunnleggende godkjenning: Du trenger et lokalt SQL Server-kontonavn i Brukernavn -feltet.

    • Windows-godkjenning: Du trenger en Windows-konto i formatet username@DOMAIN i Brukernavn -feltet.

  3. Skriv inn databaseserveradressen i skjemaet : eller :.

    Eksempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan bruke en IP-adresse for grunnleggende godkjenning, hvis nodene ikke kan bruke DNS til å løse vertsnavnet.

    Hvis du bruker Windows-godkjenning, må du angi et fullt kvalifisert domenenavn i formatet dbhost.example.org:1433

  4. Skriv inn Databasenavn.

  5. Skriv inn Brukernavn og Passord til en bruker med alle rettigheter i databasen for nøkkellagring.

12

Velg en TLS-databasetilkoblingsmodus:

Modus

Beskrivelse

Foretrekker TLS (standardalternativ)

HDS-noder krever ikke TLS for å koble til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøker nodene en kryptert tilkobling.

Krev TLS

HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

Krev TLS og bekreft sertifikatsignerer

Denne modusen gjelder ikke for SQL Server-databaser.

  • HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

  • Etter å ha opprettet en TLS-tilkobling, sammenligner noden signeringen av sertifikatet fra databaseserveren med sertifikatmyndigheten i Databaserotsertifikat. Hvis de ikke samsvarer, mister noden tilkoblingen.

Bruk kontrollen Databaserotsertifikat under rullegardinlisten for å laste opp rotsertifikatet for dette alternativet.

Krev TLS og bekreft sertifikatsignerer og vertsnavn

  • HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

  • Etter å ha opprettet en TLS-tilkobling, sammenligner noden signeringen av sertifikatet fra databaseserveren med sertifikatmyndigheten i Databaserotsertifikat. Hvis de ikke samsvarer, mister noden tilkoblingen.

  • Nodene bekrefter også at vertsnavnet i serversertifikatet samsvarer med vertsnavnet i feltet Databasevert og port . Navnene må samsvare nøyaktig, ellers mister noden tilkoblingen.

Bruk kontrollen Databaserotsertifikat under rullegardinlisten for å laste opp rotsertifikatet for dette alternativet.

Når du laster opp rotsertifikatet (om nødvendig) og klikker på Fortsett, tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserveren. Verktøyet bekrefter også sertifikatsigneringen og vertsnavnet, hvis aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan HDS-nodene være i stand til å etablere TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.)

13

På siden Systemlogger konfigurerer du Syslogd-serveren:

  1. Skriv inn URL-adressen til syslog-serveren.

    Hvis serveren ikke kan løses DNS fra nodene for HDS-klyngen, bruker du en IP-adresse i URL-adressen.

    Eksempel:
    udp://10.92.43.23:514 angir logging til Syslogd-verten 10.92.43.23 på UDP-port 514.

  2. Hvis du konfigurerer serveren til å bruke TLS-kryptering, merker du av for Er syslog-serveren konfigurert for SSL-kryptering?.

    Hvis du merker av i denne avmerkingsboksen, må du angi en TCP-URL, for eksempel tcp://10.92.43.23:514.

  3. Fra rullegardinlisten Velg avslutning av syslog-post velger du riktig innstilling for ISO-filen: Velg eller Newline brukes for Graylog og Rsyslog TCP

    • Null byte -- \x00

    • Newline -- \n– Velg dette alternativet for Graylog og Rsyslog TCP.

  4. Klikk på Fortsett.

14

(Valgfritt) Du kan endre standardverdien for noen parametere for databasetilkobling i Avanserte innstillinger. Generelt er denne parameteren den eneste du kanskje vil endre:

app_datasource_connection_pool_maxStørrelse: 10
15

Klikk på Fortsett på skjermen Tilbakestill passord for tjenestekontoer .

Passord for tjenestekontoen har en levetid på ni måneder. Bruk dette skjermbildet når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem til å ugyldiggjøre tidligere ISO-filer.

16

Klikk på Last ned ISO-fil. Lagre filen på et sted som er lett å finne.

17

Ta en sikkerhetskopi av ISO-filen på ditt lokale system.

Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer.

18

Hvis du vil slå av installasjonsverktøyet, skriver du inn CTRL+C.

Hva du skal gjøre nå

Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.

Vi har aldri en kopi av denne nøkkelen og kan ikke hjelpe hvis du mister den.

Installere HDS Host OVA

Bruk denne fremgangsmåten for å opprette en virtuell maskin fra OVA-filen.
1

Bruk VMware vSphere-klienten på datamaskinen for å logge på den virtuelle ESXi-verten.

2

Velg Fil > Distribuer OVF-mal.

3

I veiviseren angir du plasseringen til OVA-filen du lastet ned tidligere, og klikker deretter på Neste.

4

På siden Velg et navn og mappe skriver du inn et Virtuelt maskinnavn for noden (for eksempel «HDS_Node_1»), velger et sted der den virtuelle maskinnodedistribusjonen kan ligge, og klikker deretter på Neste.

5

På siden Velg en beregningsressurs velger du destinasjonsberegningsressursen, og klikker deretter på Neste.

En valideringskontroll kjører. Når den er ferdig, vises maldetaljene.

6

Bekreft maldetaljene, og klikk deretter på Neste.

7

Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon -siden, klikker du på 4 CPU og klikker deretter på Neste.

8

På siden Velg lagring klikker du på Neste for å godta standard diskformat og retningslinjer for lagring av VM.

9

På siden Velg nettverk velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til VM-en.

10

Konfigurer følgende nettverksinnstillinger på siden Tilpass mal :

  • Vertsnavn– angi FQDN (vertsnavn og domene) eller et enkelt ord vertsnavn for noden.

    • Du trenger ikke å angi domenet til å samsvare med domenet du brukte til å skaffe X.509-sertifikatet.

    • For å sikre vellykket registrering til skyen må du bare bruke små bokstaver i FQDN eller vertsnavnet du angir for noden. Kapitalisering støttes ikke på dette tidspunktet.

    • Den totale lengden på FQDN må ikke overstige 64 tegn.

  • IP-adresse– angi IP-adressen for nodens interne grensesnitt.

    Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke.

  • Maske– Angi nettverksmaskens adresse i punkt-desimalnotasjon. For eksempel 255.255.255.0.
  • Gateway– angi gatewayens IP-adresse. En gateway er en nettverksnode som fungerer som et tilgangspunkt til et annet nettverk.
  • DNS-servere – Skriv inn en kommaseparert liste over DNS-servere som håndterer å oversette domenenavn til numeriske IP-adresser. (Opptil 4 DNS-oppføringer er tillatt.)
  • NTP-servere– Angi organisasjonens NTP-server eller en annen ekstern NTP-server som kan brukes i organisasjonen. Standard NTP-servere fungerer kanskje ikke for alle bedrifter. Du kan også bruke en kommadelt liste til å angi flere NTP-servere.

  • Distribuer alle nodene på samme subnett eller VLAN, slik at alle nodene i en klynge kan nås fra klienter i nettverket ditt for administrative formål.

Hvis du vil, kan du hoppe over konfigurasjonen av nettverksinnstillingene og følge trinnene i Konfigurere VM for hybriddatasikkerhet for å konfigurere innstillingene fra nodekonsollen.

Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 6.5. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

11

Høyreklikk på noden VM, og velg deretter Power > Power On.

Programvaren for hybrid datasikkerhet installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden.

Feilsøkingstips

Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen under første oppstart, hvor du ikke kan logge på.

Konfigurere VM for hybriddatasikkerhet

Bruk denne fremgangsmåten til å logge på VM-konsollen for hybriddatasikkerhetsnoden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA ble distribuert.

1

I VMware vSphere-klienten velger du den hybride datasikkerhetsnoden VM og velger fanen Konsoll .

VM starter opp og en melding om pålogging vises. Hvis meldingen om pålogging ikke vises, trykker du på Enter.
2

Bruk følgende standard pålogging og passord for å logge på og endre legitimasjonen:

  1. Pålogging: administrator

  2. Passord: cisco

Siden du logger på VM for første gang, må du endre administratorpassordet.

3

Hvis du allerede har konfigurert nettverksinnstillingene i Installer HDS Host OVA, hopper du over resten av denne prosedyren. Hvis ikke, velger du alternativet Rediger konfigurasjon i hovedmenyen.

4

Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke.

5

(Valgfritt) Endre vertsnavnet, domenet eller NTP-serveren(e) om nødvendig for å samsvare med nettverkspolicyen.

Du trenger ikke å angi domenet til å samsvare med domenet du brukte til å skaffe X.509-sertifikatet.

6

Lagre nettverkskonfigurasjonen og start VM på nytt slik at endringene trer i kraft.

Laste opp og montere konfigurasjons-ISO for HDS

Bruk denne fremgangsmåten til å konfigurere den virtuelle maskinen fra ISO-filen du opprettet med HDS-installasjonsverktøyet.

Før du begynner

Fordi ISO-filen innehar hovednøkkelen, bør den bare eksponeres på "trenger å vite"-basis, for tilgang for virtuelle maskiner for hybriddatasikkerhet og eventuelle administratorer som må gjøre endringer. Sørg for at bare disse administratorene har tilgang til datalageret.

1

Last opp ISO-filen fra datamaskinen:

  1. Klikk på ESXi-serveren i venstre navigasjonsrute til VMware vSphere-klienten.

  2. Klikk på Lagring i Maskinvare-listen i kategorien Konfigurasjon.

  3. Høyreklikk på datalageret for VM-ene i listen Datalagerer, og klikk på Bla gjennom datalageret.

  4. Klikk på ikonet Last opp filer, og klikk deretter på Last opp fil.

  5. Bla til plasseringen der du lastet ned ISO-filen på datamaskinen, og klikk på Åpne.

  6. Klikk på Ja for å godta advarselen om opplasting/nedlasting og lukke dialogboksen for datalager.

2

Montere ISO-fil:

  1. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

  2. Klikk på OK for å godta advarselen om begrensede redigeringsalternativer.

  3. Klikk på CD/DVD-stasjon 1, velg alternativet for montering fra en ISO-fil i datalageret, og bla til plasseringen der du lastet opp ISO-konfigurasjonsfilen.

  4. Kontroller Tilkoblet og Koble til ved strøm på.

  5. Lagre endringene og start den virtuelle maskinen på nytt.

Hva du skal gjøre nå

Hvis IT-policyen krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene har plukket opp konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.

Konfigurere HDS-noden for proxy-integrering

Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybrid datasikkerhet. Hvis du velger en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet, og feilsøke eventuelle problemer.

Før du begynner

1

Skriv inn URL-adressen for HDS-nodeoppsett https://[HDS Node IP or FQDN]/setup i en nettleser, skriv inn administratorlegitimasjonen du har konfigurert for noden, og klikk deretter på Logg på.

2

Gå til Klareringslager og proxy, og velg deretter et alternativ:

  • Ingen proxy – Standardalternativet før du integrerer en proxy. Ingen sertifikatoppdatering er nødvendig.
  • Gjennomsiktig ikke-inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse og bør ikke kreve endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
  • Gjennomsiktig inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTPS-konfigurasjonen er nødvendig på distribusjonen av hybriddatasikkerhet, men HDS-nodene trenger et rotsertifikat for å klarere proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
  • Eksplisitt proxy – Med eksplisitt proxy forteller du klienten (HDS-noder) hvilken proxy-server som skal brukes, og dette alternativet støtter flere godkjenningstyper. Når du har valgt dette alternativet, må du angi følgende informasjon:

    1. Proxy-IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

    3. Proxy Protocol – Velg http (viser og kontrollerer alle forespørsler som mottas fra klienten) eller https (gir en kanal til serveren, og klienten mottar og validerer serverens sertifikat). Velg et alternativ basert på hva proxy-serveren støtter.

    4. Godkjenningstype– velg blant følgende godkjenningstyper:

      • Ingen – ingen ytterligere godkjenning er nødvendig.

        Tilgjengelig for HTTP- eller HTTPS-proxyer.

      • Grunnleggende – Brukes for en HTTP-brukeragent til å oppgi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

        Tilgjengelig for HTTP- eller HTTPS-proxyer.

        Hvis du velger dette alternativet, må du også angi brukernavn og passord.

      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

        Kun tilgjengelig for HTTPS-proxyer.

        Hvis du velger dette alternativet, må du også angi brukernavn og passord.

Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en eksplisitt HTTP-proxy med grunnleggende godkjenning eller en eksplisitt HTTPS-proxy.

3

Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen.

Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på chevron-pilen ved navnet på sertifikatutstederen for å få mer informasjon, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt.

4

Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen.

Hvis tilkoblingstesten mislykkes, får du en feilmelding som viser årsaken og hvordan du kan løse problemet.

Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne tilstanden forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene og ser Slå av blokkert ekstern DNS-oppløsningsmodus.

5

Etter at tilkoblingstesten er bestått, bare for eksplisitt proxy satt til https, slår du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen tar 15 sekunder før den trer i kraft.

6

Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en eksplisitt HTTP-proxy), les ledeteksten og klikk deretter på Installer hvis du er klar.

Noden starter på nytt innen noen få minutter.

7

Etter at noden har startet på nytt, logger du på igjen om nødvendig og åpner deretter Oversikt -siden for å sjekke tilkoblingskontrollene for å sikre at alle er i grønn status.

Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det oppstår tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen.

Registrer den første noden i klyngen

Denne oppgaven tar den generiske noden du opprettet i Konfigurer VM for hybrid datasikkerhet, registrerer noden i Webex-skyen og gjør den om til en hybrid datasikkerhetsnode.

Når du registrerer din første node, oppretter du en klynge som noden er tilordnet til. En klynge inneholder én eller flere noder som er distribuert for å gi redundans.

Før du begynner

  • Når du begynner å registrere en node, må du fullføre den innen 60 minutter, eller du må starte på nytt.

  • Sørg for at eventuelle popup-blokkere i nettleseren er deaktivert, eller at du tillater et unntak for admin.webex.com.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du kortet for hybriddatasikkerhet og klikker på Konfigurer.

4

Klikk på Legg til en ressurs på siden som åpnes.

5

I det første feltet i Legg til en node -kortet skriver du inn et navn på klyngen du vil tilordne hybriddatasikkerhetsnoden til.

Vi anbefaler at du navngir en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

6

I det andre feltet skriver du inn den interne IP-adressen eller det fullstendige domenenavnet (FQDN) til noden og klikker på Legg til nederst på skjermen.

Denne IP-adressen eller FQDN skal samsvare med IP-adressen eller vertsnavnet og domenet du brukte i Konfigurere VM for hybriddatasikkerhet.

Det vises en melding som angir at du kan registrere noden din til Webex.
7

Klikk på Gå til node.

Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelse til Webex-organisasjonen din for å få tilgang til noden din.

8

Merk av i avkrysningsboksen Gi tilgang til din hybride datasikkerhetsnode , og klikk deretter på Fortsett.

Kontoen din er validert, og meldingen «Registreringen er fullført» indikerer at noden din nå er registrert i Webex-skyen.
9

Klikk på koblingen eller lukk fanen for å gå tilbake til Partner Hub Hybrid Data Security-siden.

På siden Hybriddatasikkerhet vises den nye klyngen som inneholder noden du registrerte, under Ressurser -fanen. Noden vil automatisk laste ned den nyeste programvaren fra skyen.

Opprett og registrer flere noder

Hvis du vil legge til flere noder i klyngen, oppretter du ganske enkelt flere VM-er og monterer den samme ISO-konfigurasjonsfilen og registrerer noden. Vi anbefaler at du har minst 3 noder.

Før du begynner

  • Når du begynner å registrere en node, må du fullføre den innen 60 minutter, eller du må starte på nytt.

  • Sørg for at eventuelle popup-blokkere i nettleseren er deaktivert, eller at du tillater et unntak for admin.webex.com.

1

Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA.

2

Konfigurer den første konfigurasjonen på den nye VM-en, og gjenta trinnene i Konfigurer VM for hybriddatasikkerhet.

3

På den nye VM gjentar du trinnene i Last opp og monter HDS-konfigurasjons-ISO.

4

Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrasjon etter behov for den nye noden.

5

Registrer noden.

  1. I https://admin.webex.com velger du Tjenester fra menyen til venstre på skjermen.

  2. Finn kortet for hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

    Siden Ressurser for hybriddatasikkerhet vises.

  3. Den nylig opprettede klyngen vises på Ressurser -siden.

  4. Klikk på klyngen for å vise nodene som er tilordnet klyngen.

  5. Klikk på Legg til en node til høyre på skjermen.

  6. Skriv inn den interne IP-adressen eller fullt kvalifisert domenenavn (FQDN) til noden, og klikk på Legg til.

    En side åpnes med en melding om at du kan registrere noden din i Webex-skyen. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi organisasjonen tillatelse til å få tilgang til noden din.

  7. Merk av i avkrysningsboksen Gi tilgang til din hybride datasikkerhetsnode , og klikk deretter på Fortsett.

    Kontoen din er validert, og meldingen «Registreringen er fullført» indikerer at noden din nå er registrert i Webex-skyen.

  8. Klikk på koblingen eller lukk fanen for å gå tilbake til Partner Hub Hybrid Data Security-siden.

    Node lagt til popup-melding vises også nederst på skjermen i Partner Hub.

    Noden din er registrert.

Administrere leietakerorganisasjoner for hybriddatasikkerhet for flere leietakere

Aktivere HDS for flere leietakere på Partner Hub

Denne oppgaven sikrer at alle brukere av kundeorganisasjonene kan begynne å bruke HDS for lokale krypteringsnøkler og andre sikkerhetstjenester.

Før du begynner

Sørg for at du har fullført konfigureringen av HDS-klyngen for flere leietakere med det nødvendige antallet noder.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Rediger innstillinger.

4

Klikk på Aktiver HDS på kortet HDS-status .

Legg til leietakerorganisasjoner i Partner Hub

I denne oppgaven tilordner du kundeorganisasjoner til din hybride datasikkerhetsklynge.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

Finn hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

4

Klikk på klyngen du vil at en kunde skal tilordnes til.

5

Gå til fanen Tilordnede kunder .

6

Klikk på Legg til kunder.

7

Velg kunden du vil legge til, fra rullegardinmenyen.

8

Klikk på Legg til, kunden blir lagt til i klyngen.

9

Gjenta trinn 6 til 8 for å legge til flere kunder i klyngen.

10

Klikk på Ferdig nederst på skjermen når du har lagt til kundene.

Hva du skal gjøre nå

Kjør HDS-installasjonsverktøyet som beskrevet i Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-installasjonsverktøyet for å fullføre installasjonsprosessen.

Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-installasjonsverktøyet

Før du begynner

Tilordne kunder til riktig klynge som beskrevet i Legg til leietakerorganisasjoner i Partner Hub. Kjør HDS-installasjonsverktøyet for å fullføre installasjonsprosessen for de nylig tillagte kundeorganisasjonene.

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, for eksempel disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i godkjenningspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du distribusjonen av PostgreSQL eller SQL Server for TLS.

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

Klikk på Ja på siden ISO-import.

10

Velg ISO-filen i nettleseren og last den opp.

Sørg for tilkobling til databasen din for å utføre CMK-administrasjon.
11

Gå til fanen Leietakers CMK-administrasjon , der du finner følgende tre måter å administrere leietakers CMK-er på.

  • Opprett CMK for alle organisasjoner eller Opprett CMK – Klikk på denne knappen på banneret øverst på skjermen for å opprette CMK for alle organisasjoner som nylig er lagt til.
  • Klikk på knappen Administrer CMK-er til høyre på skjermen, og klikk på Opprett CMK-er for å opprette CMK-er for alle nylig tillagte organisasjoner.
  • Klikk på … nær CMK-administrasjonen som venter på status for en bestemt organisasjon i tabellen, og klikk på Opprett CMK for å opprette CMK for den organisasjonen.
12

Når CMK opprettes, endres statusen i tabellen fra CMK-administrasjon venter til CMK-administrert.

13

Hvis opprettelsen av CMK mislykkes, vises en feilmelding.

Fjern leietakerorganisasjoner

Før du begynner

Når de er fjernet, vil ikke brukere av kundeorganisasjoner kunne utnytte HDS for sine krypteringsbehov og vil miste alle eksisterende områder. Før du fjerner kundeorganisasjoner, må du kontakte din Cisco-partner eller kontoadministrator.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

Finn hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

4

I fanen Ressurser klikker du på klyngen du vil fjerne kundeorganisasjoner fra.

5

Klikk på Tilordnede kunder på siden som åpnes.

6

Fra listen over kundeorganisasjoner som vises, klikker du på til høyre for kundeorganisasjonen du vil fjerne, og klikker på Fjern fra klynge.

Hva du skal gjøre nå

Fullfør fjerningsprosessen ved å tilbakekalle kundeorganisasjonens CMK-er, som beskrevet i Tilbakekall CMK-er for leiere som er fjernet fra HDS.

Tilbakekall CMK-er for leiere som er fjernet fra HDS.

Før du begynner

Fjern kunder fra den aktuelle klyngen som beskrevet i Fjern leietakerorganisasjoner. Kjør HDS-installasjonsverktøyet for å fullføre fjerningsprosessen for kundeorganisasjonene som ble fjernet.

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, for eksempel disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i godkjenningspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du distribusjonen av PostgreSQL eller SQL Server for TLS.

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

Klikk på Ja på siden ISO-import.

10

Velg ISO-filen i nettleseren og last den opp.

11

Gå til fanen Leietakers CMK-administrasjon , der du finner følgende tre måter å administrere leietakers CMK-er på.

  • Tilbakekall CMK for alle organisasjoner eller Tilbakekall CMK – Klikk på denne knappen på banneret øverst på skjermen for å tilbakekalle CMK for alle organisasjoner som ble fjernet.
  • Klikk på knappen Administrer CMK-er til høyre på skjermen, og klikk på Tilbakekall CMK-er for å tilbakekalle CMK-er for alle organisasjoner som ble fjernet.
  • Klikk på i nærheten av CMK for å bli tilbakekalt status for en bestemt organisasjon i tabellen, og klikk på Tilbakekall CMK for å tilbakekalle CMK for den bestemte organisasjonen.
12

Når CMK-opphevelse er fullført, vises ikke kundeorganisasjonen lenger i tabellen.

13

Hvis CMK-tilbakekalling mislykkes, vises en feil.

Test distribusjonen av hybrid datasikkerhet

Test distribusjonen av hybrid datasikkerhet

Bruk denne fremgangsmåten til å teste scenarier for kryptering av hybriddatasikkerhet for flere leietakere.

Før du begynner

  • Konfigurer distribusjonen av hybriddatasikkerhet for flere leietakere.

  • Sørg for at du har tilgang til syslog for å bekrefte at viktige forespørsler sendes til din distribusjon av hybriddatasikkerhet for flere leietakere.

1

Nøkler for et gitt område angis av skaperen av området. Logg på Webex-appen som en av brukerne av kundeorganisasjonen, og opprett deretter et område.

Hvis du deaktiverer distribusjonen av hybriddatasikkerhet, er ikke innhold i områder som brukere oppretter, lenger tilgjengelig når de klientbufrede kopiene av krypteringsnøklene er erstattet.

2

Send meldinger til det nye området.

3

Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til distribusjonen av hybriddatasikkerhet.

  1. Hvis du vil se etter en bruker først å opprette en sikker kanal til KMS, filtrerer du på kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du bør finne en oppføring som følgende (identifikatorer forkortet for lesbarhet):
    2020-07-21 17:35:34.562 (+0000) INFORMASJON KMS [pool-14-thread-1] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Kjælebarn: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Hvis du vil se etter en bruker som ber om en eksisterende nøkkel fra KMS, filtrerer du på kms.data.method=retrieve og kms.data.type=KEY:

    Du bør finne en oppføring som:
    2020-07-21 17:44:19.889 (+0000) INFORMASJON KMS [pool-14-thread-31] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Hvis du vil se etter en bruker som ber om å opprette en ny KMS-nøkkel, filtrerer du på kms.data.method=create og kms.data.type=KEY_COLLECTION:

    Du bør finne en oppføring som:
    2020-07-21 17:44:21.975 (+0000) INFORMASJON KMS [pool-14-thread-33] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Hvis du vil se etter en bruker som ber om opprettelse av et nytt KMS-ressursobjekt (KRO) når et område eller en annen beskyttet ressurs opprettes, filtrerer du på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

    Du bør finne en oppføring som: 
    2020-07-21 17:44:22.808 (+0000) INFORMASJON KMS [pool-15-thread-1] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåk sikkerhets helse for hybriddata

En statusindikator i Partner Hub viser deg om alt er bra med distribusjonen av hybriddatasikkerhet for flere leietakere. For mer proaktive varsler, registrer deg for e-postvarsler. Du blir varslet når det er alarmer eller programvareoppgraderinger som påvirker tjenesten.
1

I Partner Hub velger du Tjenester fra menyen til venstre på skjermen.

2

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Rediger innstillinger.

Siden Innstillinger for hybriddatasikkerhet vises.
3

Skriv inn én eller flere e-postadresser atskilt med komma i delen E-postvarsler, og trykk på Enter.

Administrer HDS-distribusjonen din

Administrer HDS-distribusjon

Bruk oppgavene som er beskrevet her for å administrere distribusjonen av hybriddatasikkerhet.

Angi tidsplan for klyngeoppgradering

Programvareoppgraderinger for hybrid datasikkerhet utføres automatisk på klyngenivå, noe som sikrer at alle noder alltid kjører samme programvareversjon. Oppgraderinger utføres i henhold til oppgraderingsplanen for klyngen. Når en programvareoppgradering blir tilgjengelig, har du muligheten til å oppgradere klyngen manuelt før det planlagte oppgraderingstidspunktet. Du kan angi en bestemt oppgraderingsplan eller bruke standardplanen kl. 3:00 AM Daily USA: Amerika/Los Angeles. Du kan også velge å utsette en kommende oppgradering, om nødvendig.

Slik angir du oppgraderingsplanen:

1

Logg på Partner Hub.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Konfigurer

4

Velg klyngen på siden Hybrid Data Security Resources.

5

Klikk på fanen Klyngeinnstillinger .

6

Velg klokkeslett og tidssone for oppgraderingsplanen på siden Klyngeinnstillinger under Oppgraderingsplan.

Merk: Under tidssonen vises neste tilgjengelige oppgraderingsdato og -klokkeslett. Du kan utsette oppgraderingen til neste dag ved å klikke på Utsett med 24 timer.

Endre nodekonfigurasjonen

Av og til må du kanskje endre konfigurasjonen av den hybride datasikkerhetsnoden av en grunn som:

  • Endring av x.509-sertifikater på grunn av utløp eller andre årsaker.

    Vi støtter ikke endring av CN-domenenavnet for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.

  • Oppdaterer databaseinnstillinger for å endre til en kopi av PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt måte. Start en ny distribusjon av hybriddatasikkerhet for å bytte databasemiljøet.

  • Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.

Av sikkerhetshensyn bruker Hybrid Data Security også passord for tjenestekontoer som har en levetid på ni måneder. Når HDS-installasjonsverktøyet har generert disse passordene, distribuerer du dem til hver av HDS-nodene i ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløpsdato, mottar du et varsel fra Webex-teamet om å tilbakestille passordet for maskinkontoen din. (E-posten inneholder teksten "Bruk maskinkontoens API til å oppdatere passordet.") Hvis passordene dine ikke er utløpt ennå, gir verktøyet deg to alternativer:

  • Myk tilbakestilling– De gamle og de nye passordene fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.

  • Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.

Hvis passordene utløper uten tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.

Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.

Før du begynner

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fullstendige partneradministratorrettigheter.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i 1.e. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i godkjenningspolicyen.

1

Kjør HDS-installasjonsverktøyet ved hjelp av Docker på en lokal maskin.

  1. På maskinens kommandolinje angir du riktig kommando for miljøet:

    I vanlige miljøer:

    docker rmi ciscocitg/hds-oppsett:stabil

    I FedRAMP-miljøer:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

  2. Skriv inn følgende for å logge på Docker-bilderegisteret:

    innlogging for dokkers brukerstøtte

  3. Skriv inn denne hashen når du blir bedt om passord:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Last ned det nyeste stabile bildet for miljøet ditt:

    I vanlige miljøer:

    hengslet trekk ciscocitg/hds-oppsett:stabil

    I FedRAMP-miljøer:

    hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil

    Sørg for at du bruker det nyeste installasjonsverktøyet for denne prosedyren. Versjoner av verktøyet som er opprettet før 22. februar 2018, har ikke skjermbildene for tilbakestilling av passord.

  5. Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

    • I vanlige miljøer uten proxy:

      docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

    • I vanlige miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I vanlige miljøer med HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljøer uten proxy:

      docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

    • I FedRAMP-miljøer med HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Når containeren kjører, ser du "Express server lytter på port 8080."

  6. Bruk en nettleser til å koble til localhost, http://127.0.0.1:8080.

    Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

  7. Når du blir bedt om det, skriver du inn påloggingslegitimasjonen til Partner Hub-kunden og klikker deretter på Godta for å fortsette.

  8. Importer gjeldende ISO-konfigurasjonsfil.

  9. Følg instruksjonene for å fullføre verktøyet og laste ned den oppdaterte filen.

    Hvis du vil slå av installasjonsverktøyet, skriver du inn CTRL+C.

  10. Opprett en sikkerhetskopi av den oppdaterte filen i et annet datasenter.

2

Hvis du bare kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den ved hjelp av den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, kan du se Opprette og registrere flere noder.

  1. Installer HDS-verten OVA.

  2. Sett opp HDS VM.

  3. Monter den oppdaterte konfigurasjonsfilen.

  4. Registrer den nye noden i Partner Hub.

3

Montere ISO-filen for eksisterende HDS-noder som kjører den eldre konfigurasjonsfilen. Utfør følgende prosedyre på hver node igjen, og oppdater hver node før du slår av neste node:

  1. Slå av den virtuelle maskinen.

  2. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

  3. Klikk på CD/DVD-stasjon 1, velg alternativet for montering fra en ISO-fil, og bla til plasseringen der du lastet ned den nye ISO-konfigurasjonsfilen.

  4. Merk av for Koble til ved strøm på.

  5. Lagre endringene og strøm på den virtuelle maskinen.

4

Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen.

Slå av blokkert ekstern DNS-oppløsningsmodus

Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modus for blokkert ekstern DNS-oppløsning.

Hvis nodene dine kan løse offentlige DNS-navn gjennom interne DNS-servere, kan du slå av denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.

Før du begynner

Sørg for at dine interne DNS-servere kan løse offentlige DNS-navn, og at nodene dine kan kommunisere med dem.
1

Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/oppsett, for eksempel https://192.0.2.0/setup), angi administratorlegitimasjonen du har konfigurert for noden, og klikk deretter på Logg på.

2

Gå til Oversikt (standardsiden).

Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja.

3

Gå til siden Klareringslager og proxy .

4

Klikk på Kontroller proxy-tilkobling.

Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og vil forbli i denne modusen. Hvis ikke, etter at du har startet noden på nytt og gått tilbake til Oversikt -siden, skal Blokkert ekstern DNS-oppløsning settes til Nei.

Hva du skal gjøre nå

Gjenta proxy-tilkoblingstesten på hver node i klyngen for hybriddatasikkerhet.

Fjerne en node

Bruk denne fremgangsmåten for å fjerne en hybrid datasikkerhetsnode fra Webex-skyen. Når du har fjernet noden fra klyngen, sletter du den virtuelle maskinen for å hindre ytterligere tilgang til sikkerhetsdataene dine.
1

Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuelle maskinen.

2

Fjern noden:

  1. Logg på Partner Hub, og velg deretter Tjenester.

  2. Klikk på Vis alle på kortet for hybriddatasikkerhet for å vise siden for hybriddatasikkerhetsressurser.

  3. Velg klyngen din for å vise oversiktspanelet.

  4. Klikk på noden du vil fjerne.

  5. Klikk på Avregistrer denne noden i panelet som vises til høyre

  6. Du kan også avregistrere noden ved å klikke … til høyre for noden og velge Fjern denne noden.

3

Slett VM-en i vSphere-klienten. (Høyreklikk på VM i venstre navigasjonsrute, og klikk på Slett.)

Hvis du ikke sletter VM-en, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke VM til å få tilgang til sikkerhetsdataene dine.

Katastrofegjenoppretting ved hjelp av standbydatasenter

Den mest kritiske tjenesten som din hybride datasikkerhetsklynge tilbyr, er oppretting og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet hybriddatasikkerhet, rutes nye forespørsler om nøkkeloppretting til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.

Fordi klyngen utfører den kritiske funksjonen med å levere disse nøklene, er det viktig at klyngen forblir i drift og at riktige sikkerhetskopier opprettholdes. Tap av hybriddatasikkerhetsdatabasen eller konfigurasjons-ISO som brukes for skjemaet, vil føre til UGJENOPPRETTELIG TAP av kundeinnhold. Følgende fremgangsmåter er obligatoriske for å forhindre et slikt tap:

Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenteret blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til standbydatasenteret.

Før du begynner

Avregistrer alle noder fra Partner Hub som nevnt i Fjern en node. Bruk den nyeste ISO-filen som ble konfigurert mot nodene i klyngen som tidligere var aktiv, til å utføre failover-prosedyren som er nevnt nedenfor.
1

Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-verter.

2

Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne.

3

Ta en sikkerhetskopi av ISO-filen på ditt lokale system. Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer.

4

Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

5

Klikk på Rediger innstillinger >CD/DVD-stasjon 1 og velg ISO-fil for datalager.

Kontroller at Tilkoblet og Koble til ved påslått er merket av slik at oppdaterte konfigurasjonsendringer kan tre i kraft etter at nodene er startet.

6

Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 15 minutter.

7

Registrer noden i Partner Hub. Se Registrer den første noden i klyngen.

8

Gjenta prosessen for hver node i standbydatasenteret.

Hva du skal gjøre nå

Hvis det primære datasenteret blir aktivt igjen etter failover, avregistrerer du nodene i standby-datasenteret og gjentar prosessen med å konfigurere ISO og registrere noder i det primære datasenteret som nevnt ovenfor.

(Valgfritt) Fjern ISO etter HDS-konfigurasjon

Standard HDS-konfigurasjon kjøres med ISO-montert. Men noen kunder foretrekker ikke å forlate ISO-filer kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-nodene har tatt opp den nye konfigurasjonen.

Du bruker fortsatt ISO-filene til å foreta konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO gjennom installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en igjen med denne fremgangsmåten.

Før du begynner

Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.

1

Slå av en av HDS-nodene dine.

2

Velg HDS-noden i vCenter Server Appliance.

3

Velg Rediger innstillinger > CD/DVD-stasjon og fjern merket for ISO-fil for datalager.

4

Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 20 minutter.

5

Gjenta for hver HDS-node i sin tur.

Feilsøke hybrid datasikkerhet

Vis varsler og feilsøking

En distribusjon av hybriddatasikkerhet anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller klyngen fungerer så sakte at forespørslene blir tidsavbrutt. Hvis brukere ikke kan nå din hybride datasikkerhetsklynge, opplever de følgende symptomer:

  • Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)

  • Meldinger og områdetitler kan ikke dekrypteres for:

    • Nye brukere lagt til i et område (kan ikke hente nøkler)

    • Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)

  • Eksisterende brukere i et område vil fortsette å kjøre vellykket så lenge klientene deres har en hurtigbuffer med krypteringsnøklene

Det er viktig at du overvåker den hybride datasikkerhetsklyngen riktig og adresserer eventuelle varsler umiddelbart for å unngå tjenesteavbrudd.

Varsler

Hvis det er et problem med oppsettet av hybriddatasikkerhet, viser Partner Hub varsler til organisasjonens administrator og sender e-post til den konfigurerte e-postadressen. Varslene dekker mange vanlige scenarier.

Tabell 1. Vanlige problemer og fremgangsmåten for å løse dem

Varsel

Handling

Feil ved tilgang til lokal database.

Se etter databasefeil eller lokale nettverksproblemer.

Feil ved lokal databasetilkobling.

Kontroller at databaseserveren er tilgjengelig, og at riktig tjenestekontolegitimasjon ble brukt i nodekonfigurasjonen.

Feil ved tilgang til skytjeneste.

Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling.

Fornye registrering av skytjeneste.

Registrering til skytjenester ble avbrutt. Fornyelse av registrering pågår.

Registrering av skytjeneste avbrutt.

Registrering til skytjenester avsluttet. Tjenesten er stengt.

Tjenesten er ikke aktivert ennå.

Aktiver HDS i Partner Hub.

Konfigurert domene samsvarer ikke med serversertifikatet.

Kontroller at serversertifikatet samsvarer med det konfigurerte tjenesteaktiveringsdomenet.

Den mest sannsynlige årsaken er at sertifikatets CN nylig ble endret og nå er forskjellig fra CN som ble brukt under den første installasjonen.

Kunne ikke autentisere seg til skytjenester.

Sjekk for nøyaktighet og mulig utløp av legitimasjon for tjenestekontoen.

Kunne ikke åpne lokal nøkkelbutikkfil.

Kontroller integritet og passordnøyaktighet på den lokale nøkkelbutikkfilen.

Det lokale serversertifikatet er ugyldig.

Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans.

Kan ikke legge ut måledata.

Kontroller lokal nettverkstilgang til eksterne skytjenester.

/media/configdrive/hds-katalog finnes ikke.

Kontroller konfigurasjonen av ISO-monteringen på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å monteres ved omstart, og at den monteres.

Oppsett av leietakerorganisasjon er ikke fullført for de tilførte organisasjonene

Fullfør oppsettet ved å opprette CMK-er for nylig tillagte leietakerorganisasjoner ved hjelp av HDS-installasjonsverktøyet.

Oppsett av leietakerorganisasjon er ikke fullført for fjernede organisasjoner

Fullfør oppsettet ved å tilbakekalle CMK-er for leietakerorganisasjoner som ble fjernet ved hjelp av HDS-installasjonsverktøyet.

Feilsøke hybrid datasikkerhet

Bruk følgende generelle retningslinjer når du feilsøker problemer med hybriddatasikkerhet.
1

Se gjennom Partner Hub for eventuelle varsler og fikse eventuelle elementer du finner der. Se bildet nedenfor for referanse.

2

Se gjennom syslog-serverens utdata for aktivitet fra distribusjonen av hybriddatasikkerhet. Filtrer etter ord som "Advarsel" og "Feil" for å hjelpe til med feilsøking.

3

Kontakt Ciscos kundestøtte.

Andre merknader

Kjente problemer for hybrid datasikkerhet

  • Hvis du avslutter klyngen for hybriddatasikkerhet (ved å slette den i Partner Hub eller ved å avslutte alle noder), mister konfigurasjons-ISO-filen eller mister tilgangen til nøkkelbutikkdatabasen, kan ikke Webex-appbrukere i kundeorganisasjoner lenger bruke områder under Personer-listen sin som ble opprettet med nøkler fra KMS. Vi har for øyeblikket ingen løsning eller løsning på dette problemet, og vi oppfordrer deg til ikke å avslutte HDS-tjenestene når de håndterer aktive brukerkontoer.

  • En klient som har en eksisterende ECDH-tilkobling til en KMS opprettholder denne tilkoblingen i en tidsperiode (sannsynligvis én time).

Bruk OpenSSL til å generere en PKCS12-fil

Før du begynner

  • OpenSSL er et verktøy som kan brukes til å lage PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi støtter ikke eller fremmer en måte fremfor en annen.

  • Hvis du velger å bruke OpenSSL, tilbyr vi denne prosedyren som en veiledning for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i X.509-sertifikatkrav. Forstå disse kravene før du fortsetter.

  • Installer OpenSSL i et støttet miljø. Se https://www.openssl.org for programvare og dokumentasjon.

  • Opprett en privat nøkkel.

  • Start denne prosedyren når du mottar serversertifikatet fra Certificate Authority (CA).

1

Når du mottar serversertifikatet fra din CA, lagrer du det som hdsnode.pem.

2

Vis sertifikatet som tekst og bekreft detaljene.

openssl x509 -tekst -noout -i hdsnode.pem

3

Bruk et tekstredigeringsprogram til å opprette en sertifikatbuntfil kalt hdsnode-bundle.pem. Pakkefilen må inneholde serversertifikatet, eventuelle mellomliggende CA-sertifikater og rot-CA-sertifikatene i formatet nedenfor:

-----start sertifikat------ ### Serversertifikat ### -----end sertifikat------------ start sertifikat----- ### Mellomliggende CA-sertifikat. ### -----end sertifikat------------ start sertifikat----- ### Rot-CA-sertifikat. ### -----end sertifikat-----

4

Opprett .p12-filen med det vennlige navnet kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontroller serversertifikatdetaljene.

  1. openssl pkcs12 -i eno-dsnode.p12

  2. Skriv inn et passord når du blir bedt om å kryptere den private nøkkelen slik at den blir oppført i utdata. Deretter bekrefter du at den private nøkkelen og det første sertifikatet inkluderer linjene vennligeName: kms-privat nøkkel.

    Eksempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Angi importpassord: MAC bekreftet OK Bag-attributter friendlyName: kms-privat nøkkel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nøkkelattributter:  Angi PEM-passfrase: Bekreft – angi PEM-passfrase: -----BEGIN KRYPTERT PRIVAT NØKKEL-----  -----END KRYPTERT PRIVAT NØKKEL----- Bag Attributter friendlyName: kms-privat nøkkel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=La oss kryptere/CN=La oss kryptere autoritet X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Posens attributter friendlyName: CN=La oss kryptere myndighet X3,O=La oss kryptere,C=US subject=/C=US/O=La oss kryptere myndighet X3 utsteder=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE------

Hva du skal gjøre nå

Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet. Du bruker hdsnode.p12 -filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-verter.

Du kan bruke disse filene på nytt for å be om et nytt sertifikat når det opprinnelige sertifikatet utløper.

Trafikk mellom HDS-nodene og skyen

Utgående metrikkinnsamlingstrafikk

Nodene for hybriddatasikkerhet sender visse målinger til Webex-skyen. Disse inkluderer systemmålinger for maks. heap, heap brukt, CPU-belastning og antall tråder, målinger på synkrone og asynkrone tråder, målinger på varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller lengde på en forespørselskø, målinger på datalageret og krypteringstilkoblingsmålinger. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).

Innkommende trafikk

Nodene for hybriddatasikkerhet mottar følgende typer innkommende trafikk fra Webex-skyen:

  • Krypteringsforespørsler fra klienter som rutes av krypteringstjenesten

  • Oppgraderinger til nodeprogramvaren

Konfigurere Squid-proxyer for hybriddatasikkerhet

Websocket kan ikke koble til via Squid-proxy

Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av websocket-tilkoblinger (wss:) som hybriddatasikkerhet krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss: trafikk for riktig drift av tjenestene.

Squid 4 og 5

Legg til on_unsupported_protocol direktivet i squid.conf:

on_unsupported_protocol tunnel alle

Squid 3.5.27

Vi testet hybriddatasikkerhet med følgende regler lagt til i squid.conf. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.

acl wssMercuryConnection ssl::server_name_regex mercury-tilkobling ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump titte step1 alle ssl_bump stirre step2 alle ssl_bump bump step3 alle

Ny og endret informasjon

Ny og endret informasjon

Denne tabellen dekker nye funksjoner eller funksjonalitet, endringer i eksisterende innhold og eventuelle store feil som ble løst i distribusjonsveiledningen for hybriddatasikkerhet for flere leietakere.

Dato

Endringer gjort

08. januar 2025

La til en merknad i Utfør innledende konfigurering og nedlasting av installasjonsfiler som sier at det er et viktig trinn i installasjonsprosessen å klikke på Konfigurer på HDS-kortet i Partner Hub.

07. januar 2025

Oppdaterte krav til virtuell vert, oppgaveflyt for distribusjon av hybrid datasikkerhet og Installer HDS Host OVA for å vise nye krav til ESXi 7.0.

13. desember 2024

Først publisert.

Deaktivere hybriddatasikkerhet for flere leietakere

Oppgaveflyt for deaktivering av HDS for flere leietakere

Følg disse trinnene for å deaktivere HDS for flere leietakere fullstendig.

Før du begynner

Denne oppgaven skal bare utføres av en fullstendig partneradministrator.
1

Fjern alle kunder fra alle klyngene dine, som nevnt i Fjern leietakerorganisasjoner.

2

Tilbakekall CMK-er for alle kunder, som nevnt i Tilbakekall CMK-er for leiere som er fjernet fra HDS..

3

Fjern alle noder fra alle klyngene dine, som nevnt i Fjern en node.

4

Slett alle klyngene dine fra Partner Hub ved hjelp av én av følgende to metoder.

  • Klikk på klyngen du vil slette, og velg Slett denne klyngen øverst til høyre på oversiktssiden.
  • På Ressurser-siden klikker du på … til høyre for en klynge, og velger Fjern klynge.
5

Klikk på fanen Innstillinger på oversiktssiden for hybriddatasikkerhet, og klikk på Deaktiver HDS på HDS-statuskortet.

Kom i gang med hybriddatasikkerhet for flere leietakere

Oversikt over hybriddatasikkerhet for flere leietakere

Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er innholdskryptering fra ende-til-ende, aktivert av Webex-appklienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografiske nøkler som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.

Som standard får alle Webex-appkunder ende-til-ende-kryptering med dynamiske nøkler lagret i skyen KMS, i Ciscos sikkerhetsområde. Hybrid Data Security flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, så ingen andre enn deg har nøklene til ditt krypterte innhold.

Hybriddatasikkerhet med flere leietakere gjør det mulig for organisasjoner å utnytte HDS gjennom en klarert lokal partner, som kan fungere som tjenesteleverandør og administrere lokal kryptering og andre sikkerhetstjenester. Dette oppsettet gjør det mulig for partnerorganisasjonen å ha full kontroll over distribusjon og administrasjon av krypteringsnøkler og sikrer at brukerdata fra kundeorganisasjoner er trygge mot ekstern tilgang. Partnerorganisasjoner setter opp HDS-forekomster og oppretter HDS-klynger etter behov. Hver forekomst kan støtte flere kundeorganisasjoner i motsetning til en vanlig HDS-distribusjon som er begrenset til én enkelt organisasjon.

Selv om partnerorganisasjoner har kontroll over distribusjon og administrasjon, har de ikke tilgang til data og innhold som genereres av kunder. Denne tilgangen er begrenset til kundeorganisasjoner og deres brukere.

Dette gjør det også mulig for mindre organisasjoner å utnytte HDS, siden tjeneste for nøkkeladministrasjon og sikkerhetsinfrastruktur som datasentre eies av den klarerte lokale partneren.

Hvordan hybriddatasikkerhet for flere leietakere gir datasuverenitet og datakontroll

  • Brukergenerert innhold er beskyttet mot ekstern tilgang, for eksempel skytjenesteleverandører.
  • Lokale klarerte partnere administrerer krypteringsnøklene til kunder de allerede har etablert relasjoner med.
  • Alternativ for lokal teknisk støtte, hvis den leveres av partneren.
  • Støtter innhold i møter, meldinger og anrop.

Dette dokumentet er ment å hjelpe partnerorganisasjoner med å konfigurere og administrere kunder under et hybriddatasikkerhetssystem for flere leietakere.

Roller i hybriddatasikkerhet for flere leietakere

  • Fullstendig partneradministrator – Kan administrere innstillinger for alle kunder som partneren administrerer. Kan også tilordne administratorroller til eksisterende brukere i organisasjonen og tilordne bestemte kunder som skal administreres av partneradministratorer.
  • Partneradministrator – Kan administrere innstillinger for kunder som administratoren har klargjort, eller som er tilordnet brukeren.
  • Fullverdig administrator – Administrator for partnerorganisasjonen som er autorisert til å utføre oppgaver som å endre organisasjonsinnstillinger, administrere lisenser og tilordne roller.
  • Oppsett og administrasjon av HDS med flere leietakere fra ende til ende for alle kundeorganisasjoner – fullstendig partneradministrator og fullstendige administratorrettigheter kreves.
  • Administrasjon av tilordnede leietakerorganisasjoner – Partneradministrator og fullstendige administratorrettigheter kreves.

Sikkerhetsområde arkitektur

Webex-skyarkitekturen skiller forskjellige typer tjenester inn i separate områder, eller klareringsdomener, som vist nedenfor.

Områder for separasjon (uten hybrid datasikkerhet)

For å forstå hybrid datasikkerhet ytterligere, la oss først se på dette rene skytilfellet, der Cisco leverer alle funksjonene i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan være direkte korrelert med sine personopplysninger, for eksempel e-postadresse, er logisk og fysisk adskilt fra sikkerhetsområdet i datasenter B. Begge er i sin tur adskilt fra området der kryptert innhold lagres, i datasenter C.

I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og er godkjent med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:

  1. Klienten oppretter en sikker tilkobling til nøkkeladministrasjonstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikre tilkoblingen bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en hovednøkkel AES-256.

  2. Meldingen krypteres før den forlater klienten. Klienten sender det til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe i fremtidige søk etter innholdet.

  3. Den krypterte meldingen sendes til samsvarstjenesten for kontroll av samsvar.

  4. Den krypterte meldingen lagres i lagringsområdet.

Når du distribuerer hybrid datasikkerhet, flytter du sikkerhetsområdefunksjonene (KMS, indeksering og samsvar) til det lokale datasenteret. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos områder.

Samarbeide med andre organisasjoner

Brukere i organisasjonen kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen din (fordi det ble opprettet av en av brukerne), sender KMS nøkkelen til klienten via en ECDH-sikret kanal. Når en annen organisasjon eier nøkkelen for området, sender KMS imidlertid forespørselen ut til Webex-skyen via en egen ECDH-kanal for å hente nøkkelen fra den aktuelle KMS, og returnerer deretter nøkkelen til brukeren din på den opprinnelige kanalen.

KMS-tjenesten som kjører på Org A, validerer tilkoblingene til KMS i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet hvis du vil ha mer informasjon om hvordan du genererer et x.509-sertifikat som skal brukes med distribusjonen av hybriddatasikkerhet for flere leietakere.

Forventninger til distribusjon av hybrid datasikkerhet

En distribusjon av hybrid datasikkerhet krever betydelig forpliktelse og bevissthet om risikoene som følger med å eie krypteringsnøkler.

For å distribuere hybrid datasikkerhet må du oppgi:

Fullstendig tap av enten konfigurasjons-ISO-en du bygger for hybriddatasikkerhet eller databasen du leverer, vil føre til tap av nøklene. Nøkkeltap hindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:

  • Administrer sikkerhetskopiering og gjenoppretting av databasen og konfigurasjons-ISO.

  • Vær forberedt på å utføre rask katastrofegjenoppretting hvis en katastrofe oppstår, for eksempel databasediskfeil eller datasenterkatastrofe.

Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon.

Oppsettsprosess på høyt nivå

Dette dokumentet dekker oppsettet og administrasjonen av en distribusjon av hybriddatasikkerhet for flere leietakere:

  • Konfigurere hybrid datasikkerhet – Dette inkluderer klargjøring av nødvendig infrastruktur og installering av hybrid datasikkerhetsprogramvare, bygging av en HDS-klynge, tillegging av leierorganisasjoner i klyngen og administrasjon av kundens hovednøkler (CMK-er). Dette vil gjøre det mulig for alle brukere i kundeorganisasjonene dine å bruke den hybride datasikkerhetsklyngen til sikkerhetsfunksjoner.

    Installasjons-, aktiverings- og administrasjonsfasene er beskrevet i detalj i de neste tre kapitlene.

  • Oppretthold distribusjonen av hybrid datasikkerhet – Webex-skyen gir automatisk pågående oppgraderinger. IT-avdelingen din kan gi støtte på nivå én for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke varsler på skjermen og konfigurere e-postbaserte varsler i Partner Hub.

  • Forstå vanlige varsler, feilsøkingstrinn og kjente problemer– Hvis du har problemer med å distribuere eller bruke hybriddatasikkerhet, kan det siste kapitlet i denne veiledningen og vedlegget Kjente problemer hjelpe deg med å finne og løse problemet.

Distribusjonsmodell for hybrid datasikkerhet

I bedriftens datasenter distribuerer du hybrid datasikkerhet som én klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen via sikre websockets og sikre HTTP.

Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere det virtuelle apparatet på VM-ene du leverer. Du bruker HDS-installasjonsverktøyet til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Den hybride datasikkerhetsklyngen bruker den oppgitte Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)

Distribusjonsmodell for hybrid datasikkerhet

Minimum antall noder du kan ha i en klynge, er to. Vi anbefaler minst tre per klynge. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)

Alle noder i en klynge får tilgang til samme nøkkeldatalager og loggaktivitet til samme syslog-server. Nodene selv er statsløse, og håndterer nøkkelforespørsler på rund-robin-modus, som styres av skyen.

Noder blir aktive når du registrerer dem i Partner Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.

Standby Data Center for katastrofegjenoppretting

Under distribusjonen setter du opp et sikkert standbydatasenter. I tilfelle en datasenterkatastrofe, kan du manuelt mislykkes distribusjonen til standbydatasenteret.

Før failover har datasenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-databasen, mens B har en kopi av ISO-filen med ekstra konfigurasjoner, virtuelle maskiner som er registrert i organisasjonen, og en standbydatabase. Etter failover har datasenter B aktive HDS-noder og den primære databasen, mens A har uregistrerte VM-er og en kopi av ISO-filen, og databasen er i standbymodus.
Manuell failover til standby-datasenter

Databasene til de aktive datasentrene og standbydatasentrene er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover.

De aktive nodene for hybriddatasikkerhet må alltid være i samme datasenter som den aktive databaseserveren.

Proxy-støtte

Hybrid Data Security støtter eksplisitte, gjennomsiktige inspeksjons- og ikke-inspeksjons-proxyer. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et plattformadministratorgrensesnitt på nodene for sertifikatadministrasjon og for å kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.

Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:

  • Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Trust Store & Proxy-konfigurasjonen til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.

  • Gjennomsiktig ikke-inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse og bør ikke kreve endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.

  • Gjennomsiktig tunnelering eller inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjonen er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de stoler på proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).

  • Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og godkjenningsskjema som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon på hver node:

    1. Proxy-IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

    3. Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:

      • HTTP – viser og kontrollerer alle forespørsler som klienten sender.

      • HTTPS – Gir en kanal til serveren. Klienten mottar og validerer serverens sertifikat.

    4. Godkjenningstype– velg blant følgende godkjenningstyper:

      • Ingen – Ingen ytterligere godkjenning er nødvendig.

        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

      • Grunnleggende – Brukes for en HTTP-brukeragent til å oppgi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

        Krever at du skriver inn brukernavn og passord for hver node.

      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

        Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.

        Krever at du skriver inn brukernavn og passord for hver node.

Eksempel på noder og proxy for hybriddatasikkerhet

Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og eksplisitt HTTPS-inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.

Blokkert ekstern DNS-oppløsningsmodus (eksplisitte proxy-konfigurasjoner)

Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsning-modus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.

Forbered miljøet ditt

Krav til hybriddatasikkerhet for flere leietakere

Krav til Cisco Webex-lisens

Slik distribuerer du hybriddatasikkerhet for flere leietakere:

  • Partnerorganisasjoner: Kontakt din Cisco-partner eller kontoadministrator og sørg for at funksjonen for flere leietakere er aktivert.

  • Leietakerorganisasjoner: Du må ha Pro Pack for Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker-skrivebord

Før du installerer HDS-nodene, trenger du Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig sin lisensieringsmodell. Organisasjonen din kan kreve et betalt abonnement på Docker Desktop. Hvis du vil ha mer informasjon, kan du se innlegget til Docker-bloggen, «Docker oppdaterer og utvider våre produktabonnementer».

X.509-sertifikatkrav

Sertifikatkjeden må oppfylle følgende krav:

Tabell 1. X.509-sertifikatkrav for distribusjon av hybriddatasikkerhet

Krav

Detaljer

  • Signert av en klarert sertifiseringsinstans (CA)

Som standard stoler vi på sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har et Common Name (CN) domenenavn som identifiserer din distribusjon av hybriddatasikkerhet

  • Er ikke et jokertegn

CN trenger ikke å være tilgjengelig eller en direkte vert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel hds.company.com.

CN kan ikke inneholde et * (jokertegn).

CN brukes til å bekrefte nodene for hybriddatasikkerhet til Webex-appklienter. Alle nodene for hybriddatasikkerhet i klyngen bruker det samme sertifikatet. KMS identifiserer seg selv ved hjelp av CN-domenet, ikke et domene som er definert i x.509v3 SAN-feltene.

Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN-domenenavnet.

  • Ikke-SHA1-signatur

KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjons KMS-er.

  • Formatert som en passordbeskyttet PKCS #12-fil

  • Bruk det vennlige navnet på kms-private-key for å tagge sertifikatet, privat nøkkel og eventuelle mellomliggende sertifikater som skal lastes opp.

Du kan bruke en konverter som OpenSSL til å endre sertifikatets format.

Du må angi passordet når du kjører HDS-installasjonsverktøyet.

KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifikatmyndigheter krever at utvidede nøkkelbruksbegrensninger brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.

Krav til virtuell vert

De virtuelle vertene som du vil konfigurere som Hybrid Data Security-noder i klyngen har følgende krav:

  • Minst to separate verter (3 anbefales) plassert i samme sikre datasenter

  • VMware ESXi 7.0 (eller nyere) installert og kjører.

    Du må oppgradere hvis du har en tidligere versjon av ESXi.

  • Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokalt harddiskplass per server

Krav til databaseserver

Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene oppretter databaseskjemaet når de er installert.

Det finnes to alternativer for databaseserver. Kravene til hver av dem er som følger:

Tabell 2. Databaseserverkrav etter type database

PostgreSql

Microsoft SQL Server

  • PostgreSQL 14, 15 eller 16, installert og kjører.

  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installert.

    SQL Server 2016 krever Service Pack 2 og kumulativ oppdatering 2 eller nyere.

Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at det ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at det ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserveren:

PostgreSql

Microsoft SQL Server

Postgres JDBC driver 42.2.5

SQL Server JDBC driver 4.6

Denne driverversjonen støtter SQL Server Always On (Always On Failover Cluster Instances og Always On Availability Groups).

Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server

Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til Keystore-databasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:

  • HDS-nodene, Active Directory-infrastrukturen og MS SQL Server må alle synkroniseres med NTP.

  • Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.

  • DNS-serverne du leverer til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).

  • Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et tjenestehovednavn (SPN) i Active Directory. Se Registrer tjenestens hovednavn for Kerberos-tilkoblinger.

    HDS-installasjonsverktøyet, HDS-oppstartsprogrammet og lokal KMS må bruke Windows-godkjenning for å få tilgang til nøkkelbutikkdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN-en når de ber om tilgang med Kerberos-godkjenning.

Krav til ekstern tilkobling

Konfigurer brannmuren slik at den tillater følgende tilkobling for HDS-programmene:

Applikasjon

Protokoll

Port

Retning fra appen

Destinasjon

Noder for hybriddatasikkerhet

tcp

443

Utgående HTTPS og WSS

  • Webex-servere:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-verter

  • Andre URL-adresser som er oppført for hybriddatasikkerhet i tabellen Ytterligere URL-adresser for Webex-hybridtjenester med Nettverkskrav for Webex-tjenester

HDS-oppsettsverktøy

tcp

443

Utgående HTTPS

  • *.wbx2.com

  • Alle Common Identity-verter

  • hub.docker.com

Nodene for hybriddatasikkerhet fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmuren tillater de nødvendige utgående tilkoblingene til domenet-målene i tabellen ovenfor. Ingen porter skal være synlige fra Internett for tilkoblinger som går inn til nodene for hybriddatasikkerhet. I datasenteret trenger klienter tilgang til nodene for hybriddatasikkerhet på TCP-portene 443 og 22 av administrative grunner.

URL-adressene for Common Identity (CI)-vertene er områdespesifikke. Dette er de gjeldende CI-vertene:

Region

URL-adresser for Common Identity Host

Nord-Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Den europeiske union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

De forente arabiske emirater

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Krav til proxy-server

  • Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene for hybriddatasikkerhet.

    • Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).

    • Eksplisitt proxy – Squid.

      Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre opprettelsen av websocket-tilkoblinger (wss:). Hvis du vil omgå dette problemet, kan du se Konfigurere Squid-proxyer for hybriddatasikkerhet.

  • Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:

    • Ingen godkjenning med HTTP eller HTTPS

    • Grunnleggende godkjenning med HTTP eller HTTPS

    • Digest-godkjenning kun med HTTPS

  • For en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne veiledningen forteller deg hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnodene.

  • Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.

  • Proxyer som inspiserer webtrafikk kan forstyrre Web Socket-tilkoblinger. Hvis dette problemet oppstår, vil det å omgå (ikke inspisere) trafikk til wbx2.com , og ciscospark.com vil løse problemet.

Fullfør forutsetningene for hybrid datasikkerhet

Bruk denne sjekklisten til å sikre at du er klar til å installere og konfigurere den hybride datasikkerhetsklyngen.
1

Sørg for at partnerorganisasjonen din har HDS-funksjonen for flere leietakere aktivert og få legitimasjonen til en konto med fullstendig partneradministrator og fullstendige administratorrettigheter. Påse at Webex-kundeorganisasjonen er aktivert for Pro Pack for Cisco Webex Control Hub. Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen.

Kundeorganisasjoner skal ikke ha noen eksisterende HDS-distribusjon.

2

Velg et domenenavn for HDS-distribusjonen (for eksempel hds.company.com) og hent en sertifikatkjede som inneholder et X.509-sertifikat, privat nøkkel og eventuelle mellomliggende sertifikater. Sertifikatkjeden må oppfylle kravene i X.509 Sertifikatkrav.

3

Klargjør identiske virtuelle verter som du vil konfigurere som Hybrid Data Security-noder i klyngen. Du trenger minst to separate verter (3 anbefales) plassert i samme sikre datasenter, som oppfyller kravene i Krav til virtuelle verter.

4

Klargjør databaseserveren som skal fungere som nøkkeldatalager for klyngen, i henhold til Databaseserverkrav. Databaseserveren må være plassert i det sikre datasenteret med de virtuelle vertene.

  1. Opprett en database for nøkkellagring. (Du må opprette denne databasen – ikke bruk standarddatabasen. HDS-programmene oppretter databaseskjemaet når de er installert.)

  2. Samle inn detaljene som nodene skal bruke til å kommunisere med databaseserveren:

    • vertsnavnet eller IP-adressen (vert) og port

    • navnet på databasen (dbname) for nøkkellagring

    • brukernavnet og passordet til en bruker med alle rettigheter i databasen for nøkkellagring

5

For rask katastrofegjenoppretting konfigurerer du et sikkerhetskopieringsmiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet til VM-er og en sikkerhetskopidatabaseserver. Hvis for eksempel produksjonen har 3 VM-er som kjører HDS-noder, skal sikkerhetskopieringsmiljøet ha 3 VM-er.

6

Sett opp en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadressen og syslog-porten (standard er UDP 514).

7

Opprett en sikker sikkerhetskopieringspolicy for nodene for hybriddatasikkerhet, databaseserveren og syslog-verten. For å forhindre ugjenopprettelig tap av data må du som minimum sikkerhetskopiere databasen og konfigurasjonsfilen som genereres for nodene for hybriddatasikkerhet.

Fordi nodene for hybriddatasikkerhet lagrer nøklene som brukes til kryptering og dekryptering av innhold, vil manglende vedlikehold av en operativ distribusjon føre til UGJENOPPRETTELIG TAP av dette innholdet.

Webex-appklienter bufrer nøklene sine, så det kan hende at et driftsbrudd ikke er umiddelbart merkbart, men vil bli tydelig over tid. Selv om midlertidige avbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopieringer tilgjengelig) av enten databasen eller konfigurasjons-ISO-filen vil imidlertid føre til ugjenopprettbare kundedata. Operatørene av nodene for hybriddatasikkerhet forventes å opprettholde hyppige sikkerhetskopieringer av databasen og konfigurasjonsfilen, og være forberedt på å gjenoppbygge datasenteret for hybriddatasikkerhet hvis det oppstår en katastrofal feil.

8

Kontroller at brannmurkonfigurasjonen tillater tilkobling for hybriddatasikkerhetsnodene som beskrevet i Krav til ekstern tilkobling.

9

Installer Docker ( https://www.docker.com) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til det på http://127.0.0.1:8080.

Du bruker Docker-forekomsten til å laste ned og kjøre HDS-installasjonsverktøyet, som bygger den lokale konfigurasjonsinformasjonen for alle nodene for hybriddatasikkerhet. Du trenger kanskje en Docker Desktop-lisens. Se Krav til Docker Desktop for mer informasjon.

For å installere og kjøre HDS-installasjonsverktøyet må den lokale maskinen ha tilkoblingen beskrevet i Krav til ekstern tilkobling.

10

Hvis du integrerer en proxy med hybriddatasikkerhet, må du sørge for at den oppfyller kravene til proxy-serveren.

Konfigurere en klynge for hybriddatasikkerhet

Oppgaveflyt for distribusjon av hybrid datasikkerhet

Før du begynner

1

Utfør første konfigurasjon og last ned installasjonsfiler

Last ned OVA-filen til din lokale maskin for senere bruk.

2

Opprette en konfigurasjons-ISO for HDS-verter

Bruk HDS-installasjonsverktøyet til å opprette en ISO-konfigurasjonsfil for nodene for hybriddatasikkerhet.

3

Installere HDS Host OVA

Opprett en virtuell maskin fra OVA-filen og utfør første konfigurasjon, for eksempel nettverksinnstillinger.

Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 7.0. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

4

Konfigurere VM for hybriddatasikkerhet

Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA ble distribuert.

5

Laste opp og montere konfigurasjons-ISO for HDS

Konfigurer VM fra ISO-konfigurasjonsfilen du opprettet med HDS-installasjonsverktøyet.

6

Konfigurere HDS-noden for proxy-integrering

Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du hvilken type proxy du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig.

7

Registrer den første noden i klyngen

Registrer VM med Cisco Webex-skyen som en hybrid datasikkerhetsnode.

8

Opprett og registrer flere noder

Fullfør klyngeoppsettet.

9

Aktiver HDS for flere leietakere på Partner Hub.

Aktiver HDS og administrer leierorganisasjoner på Partner Hub.

Utfør første konfigurasjon og last ned installasjonsfiler

I denne oppgaven laster du ned en OVA-fil til maskinen din (ikke til serverne du konfigurerer som Hybrid Data Security-noder). Du bruker denne filen senere i installasjonsprosessen.

1

Logg på Partner Hub, og klikk deretter på Tjenester.

2

Finn kortet for hybriddatasikkerhet under Skytjenester, og klikk deretter på Konfigurer.

Å klikke på Konfigurer i Partner Hub er avgjørende for distribusjonsprosessen. Ikke fortsett med installasjonen uten å fullføre dette trinnet.

3

Klikk på Legg til en ressurs , og klikk på Last ned .OVA-fil på kortet Installer og konfigurer programvare .

Eldre versjoner av programvarepakken (OVA) vil ikke være kompatible med de nyeste oppgraderingene for hybriddatasikkerhet. Dette kan føre til problemer under oppgradering av programmet. Sørg for at du laster ned den nyeste versjonen av OVA-filen.

Du kan også laste ned OVA når som helst fra Hjelp -delen. Klikk på Innstillinger > Hjelp > Last ned programvare for hybriddatasikkerhet.

OVA-filen begynner automatisk å lastes ned. Lagre filen på en plassering på maskinen.
4

Du kan eventuelt klikke på Se distribusjonsveiledning for hybriddatasikkerhet for å sjekke om det finnes en senere versjon av denne veiledningen.

Opprette en konfigurasjons-ISO for HDS-verter

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

Før du begynner
1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

På siden ISO-import har du disse alternativene:

  • Nei– Hvis du oppretter din første HDS-node, har du ikke en ISO-fil å laste opp.
  • Ja – Hvis du allerede har opprettet HDS-noder, velger du ISO-filen din i nettleseren og laster den opp.
10

Kontroller at X.509-sertifikatet oppfyller kravene i X.509-sertifikatkrav.

  • Hvis du aldri har lastet opp et sertifikat før, laster du opp X.509-sertifikatet, skriver inn passordet og klikker på Fortsett.
  • Hvis sertifikatet er OK, klikker du på Fortsett.
  • Hvis sertifikatet har utløpt eller du vil erstatte det, velger du Nei for Fortsett å bruke HDS-sertifikatkjede og privat nøkkel fra forrige ISO?. Last opp et nytt X.509-sertifikat, skriv inn passordet, og klikk på Fortsett.
11

Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret:

  1. Velg Databasetype (PostgreSQL eller Microsoft SQL Server).

    Hvis du velger Microsoft SQL Server, får du et felt for godkjenningstype.

  2. (Kun Microsoft SQL Server ) Velg godkjenningstype:

    • Grunnleggende godkjenning: Du trenger et lokalt SQL Server-kontonavn i Brukernavn -feltet.

    • Windows-godkjenning: Du trenger en Windows-konto i formatet username@DOMAIN i Brukernavn -feltet.

  3. Skriv inn databaseserveradressen i skjemaet : eller :.

    Eksempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan bruke en IP-adresse for grunnleggende godkjenning, hvis nodene ikke kan bruke DNS til å løse vertsnavnet.

    Hvis du bruker Windows-godkjenning, må du angi et fullt kvalifisert domenenavn i formatet dbhost.example.org:1433

  4. Skriv inn Databasenavn.

  5. Skriv inn Brukernavn og Passord til en bruker med alle rettigheter i databasen for nøkkellagring.

12

Velg en TLS-databasetilkoblingsmodus:

Modus

Beskrivelse

Foretrekker TLS (standardalternativ)

HDS-noder krever ikke TLS for å koble til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøker nodene en kryptert tilkobling.

Krev TLS

HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

Krev TLS og bekreft sertifikatsignerer

Denne modusen gjelder ikke for SQL Server-databaser.

  • HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

  • Etter å ha opprettet en TLS-tilkobling, sammenligner noden signeringen av sertifikatet fra databaseserveren med sertifikatmyndigheten i Databaserotsertifikat. Hvis de ikke samsvarer, mister noden tilkoblingen.

Bruk kontrollen Databaserotsertifikat under rullegardinlisten for å laste opp rotsertifikatet for dette alternativet.

Krev TLS og bekreft sertifikatsignerer og vertsnavn

  • HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

  • Etter å ha opprettet en TLS-tilkobling, sammenligner noden signeringen av sertifikatet fra databaseserveren med sertifikatmyndigheten i Databaserotsertifikat. Hvis de ikke samsvarer, mister noden tilkoblingen.

  • Nodene bekrefter også at vertsnavnet i serversertifikatet samsvarer med vertsnavnet i feltet Databasevert og port . Navnene må samsvare nøyaktig, ellers mister noden tilkoblingen.

Bruk kontrollen Databaserotsertifikat under rullegardinlisten for å laste opp rotsertifikatet for dette alternativet.

Når du laster opp rotsertifikatet (om nødvendig) og klikker på Fortsett, tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserveren. Verktøyet bekrefter også sertifikatsigneringen og vertsnavnet, hvis aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan HDS-nodene være i stand til å etablere TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.)

13

På siden Systemlogger konfigurerer du Syslogd-serveren:

  1. Skriv inn URL-adressen til syslog-serveren.

    Hvis serveren ikke kan løses DNS fra nodene for HDS-klyngen, bruker du en IP-adresse i URL-adressen.

    Eksempel:
    udp://10.92.43.23:514 angir logging til Syslogd-verten 10.92.43.23 på UDP-port 514.

  2. Hvis du konfigurerer serveren til å bruke TLS-kryptering, merker du av for Er syslog-serveren konfigurert for SSL-kryptering?.

    Hvis du merker av i denne avmerkingsboksen, må du angi en TCP-URL, for eksempel tcp://10.92.43.23:514.

  3. Fra rullegardinlisten Velg avslutning av syslog-post velger du riktig innstilling for ISO-filen: Velg eller Newline brukes for Graylog og Rsyslog TCP

    • Null byte -- \x00

    • Newline -- \n– Velg dette alternativet for Graylog og Rsyslog TCP.

  4. Klikk på Fortsett.

14

(Valgfritt) Du kan endre standardverdien for noen parametere for databasetilkobling i Avanserte innstillinger. Generelt er denne parameteren den eneste du kanskje vil endre:

app_datasource_connection_pool_maxStørrelse: 10
15

Klikk på Fortsett på skjermen Tilbakestill passord for tjenestekontoer .

Passord for tjenestekontoen har en levetid på ni måneder. Bruk dette skjermbildet når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem til å ugyldiggjøre tidligere ISO-filer.

16

Klikk på Last ned ISO-fil. Lagre filen på et sted som er lett å finne.

17

Ta en sikkerhetskopi av ISO-filen på ditt lokale system.

Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer.

18

Hvis du vil slå av installasjonsverktøyet, skriver du inn CTRL+C.

Hva du skal gjøre nå

Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.

Vi har aldri en kopi av denne nøkkelen og kan ikke hjelpe hvis du mister den.

Installere HDS Host OVA

Bruk denne fremgangsmåten for å opprette en virtuell maskin fra OVA-filen.
1

Bruk VMware vSphere-klienten på datamaskinen for å logge på den virtuelle ESXi-verten.

2

Velg Fil > Distribuer OVF-mal.

3

I veiviseren angir du plasseringen til OVA-filen du lastet ned tidligere, og klikker deretter på Neste.

4

På siden Velg et navn og mappe skriver du inn et Virtuelt maskinnavn for noden (for eksempel «HDS_Node_1»), velger et sted der den virtuelle maskinnodedistribusjonen kan ligge, og klikker deretter på Neste.

5

På siden Velg en beregningsressurs velger du destinasjonsberegningsressursen, og klikker deretter på Neste.

En valideringskontroll kjører. Når den er ferdig, vises maldetaljene.

6

Bekreft maldetaljene, og klikk deretter på Neste.

7

Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon -siden, klikker du på 4 CPU og klikker deretter på Neste.

8

På siden Velg lagring klikker du på Neste for å godta standard diskformat og retningslinjer for lagring av VM.

9

På siden Velg nettverk velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til VM-en.

10

Konfigurer følgende nettverksinnstillinger på siden Tilpass mal :

  • Vertsnavn– angi FQDN (vertsnavn og domene) eller et enkelt ord vertsnavn for noden.

    • Du trenger ikke å angi domenet til å samsvare med domenet du brukte til å skaffe X.509-sertifikatet.

    • For å sikre vellykket registrering til skyen må du bare bruke små bokstaver i FQDN eller vertsnavnet du angir for noden. Kapitalisering støttes ikke på dette tidspunktet.

    • Den totale lengden på FQDN må ikke overstige 64 tegn.

  • IP-adresse– angi IP-adressen for nodens interne grensesnitt.

    Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke.

  • Maske– Angi nettverksmaskens adresse i punkt-desimalnotasjon. For eksempel 255.255.255.0.
  • Gateway– angi gatewayens IP-adresse. En gateway er en nettverksnode som fungerer som et tilgangspunkt til et annet nettverk.
  • DNS-servere – Skriv inn en kommaseparert liste over DNS-servere som håndterer å oversette domenenavn til numeriske IP-adresser. (Opptil 4 DNS-oppføringer er tillatt.)
  • NTP-servere– Angi organisasjonens NTP-server eller en annen ekstern NTP-server som kan brukes i organisasjonen. Standard NTP-servere fungerer kanskje ikke for alle bedrifter. Du kan også bruke en kommadelt liste til å angi flere NTP-servere.

  • Distribuer alle nodene på samme subnett eller VLAN, slik at alle nodene i en klynge kan nås fra klienter i nettverket ditt for administrative formål.

Hvis du vil, kan du hoppe over konfigurasjonen av nettverksinnstillingene og følge trinnene i Konfigurere VM for hybriddatasikkerhet for å konfigurere innstillingene fra nodekonsollen.

Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 7.0. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

11

Høyreklikk på noden VM, og velg deretter Power > Power On.

Programvaren for hybrid datasikkerhet installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden.

Feilsøkingstips

Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen under første oppstart, hvor du ikke kan logge på.

Konfigurere VM for hybriddatasikkerhet

Bruk denne fremgangsmåten til å logge på VM-konsollen for hybriddatasikkerhetsnoden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA ble distribuert.

1

I VMware vSphere-klienten velger du den hybride datasikkerhetsnoden VM og velger fanen Konsoll .

VM starter opp og en melding om pålogging vises. Hvis meldingen om pålogging ikke vises, trykker du på Enter.
2

Bruk følgende standard pålogging og passord for å logge på og endre legitimasjonen:

  1. Pålogging: administrator

  2. Passord: cisco

Siden du logger på VM for første gang, må du endre administratorpassordet.

3

Hvis du allerede har konfigurert nettverksinnstillingene i Installer HDS Host OVA, hopper du over resten av denne prosedyren. Hvis ikke, velger du alternativet Rediger konfigurasjon i hovedmenyen.

4

Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke.

5

(Valgfritt) Endre vertsnavnet, domenet eller NTP-serveren(e) om nødvendig for å samsvare med nettverkspolicyen.

Du trenger ikke å angi domenet til å samsvare med domenet du brukte til å skaffe X.509-sertifikatet.

6

Lagre nettverkskonfigurasjonen og start VM på nytt slik at endringene trer i kraft.

Laste opp og montere konfigurasjons-ISO for HDS

Bruk denne fremgangsmåten til å konfigurere den virtuelle maskinen fra ISO-filen du opprettet med HDS-installasjonsverktøyet.

Før du begynner

Fordi ISO-filen innehar hovednøkkelen, bør den bare eksponeres på "trenger å vite"-basis, for tilgang for virtuelle maskiner for hybriddatasikkerhet og eventuelle administratorer som må gjøre endringer. Sørg for at bare disse administratorene har tilgang til datalageret.

1

Last opp ISO-filen fra datamaskinen:

  1. Klikk på ESXi-serveren i venstre navigasjonsrute til VMware vSphere-klienten.

  2. Klikk på Lagring i Maskinvare-listen i kategorien Konfigurasjon.

  3. Høyreklikk på datalageret for VM-ene i listen Datalagerer, og klikk på Bla gjennom datalageret.

  4. Klikk på ikonet Last opp filer, og klikk deretter på Last opp fil.

  5. Bla til plasseringen der du lastet ned ISO-filen på datamaskinen, og klikk på Åpne.

  6. Klikk på Ja for å godta advarselen om opplasting/nedlasting og lukke dialogboksen for datalager.

2

Montere ISO-fil:

  1. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

  2. Klikk på OK for å godta advarselen om begrensede redigeringsalternativer.

  3. Klikk på CD/DVD-stasjon 1, velg alternativet for montering fra en ISO-fil i datalageret, og bla til plasseringen der du lastet opp ISO-konfigurasjonsfilen.

  4. Kontroller Tilkoblet og Koble til ved strøm på.

  5. Lagre endringene og start den virtuelle maskinen på nytt.

Hva du skal gjøre nå

Hvis IT-policyen krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene har plukket opp konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.

Konfigurere HDS-noden for proxy-integrering

Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybrid datasikkerhet. Hvis du velger en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet, og feilsøke eventuelle problemer.

Før du begynner

1

Skriv inn URL-adressen for HDS-nodeoppsett https://[HDS Node IP or FQDN]/setup i en nettleser, skriv inn administratorlegitimasjonen du har konfigurert for noden, og klikk deretter på Logg på.

2

Gå til Klareringslager og proxy, og velg deretter et alternativ:

  • Ingen proxy – Standardalternativet før du integrerer en proxy. Ingen sertifikatoppdatering er nødvendig.
  • Gjennomsiktig ikke-inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse og bør ikke kreve endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
  • Gjennomsiktig inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTPS-konfigurasjonen er nødvendig på distribusjonen av hybriddatasikkerhet, men HDS-nodene trenger et rotsertifikat for å klarere proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
  • Eksplisitt proxy – Med eksplisitt proxy forteller du klienten (HDS-noder) hvilken proxy-server som skal brukes, og dette alternativet støtter flere godkjenningstyper. Når du har valgt dette alternativet, må du angi følgende informasjon:

    1. Proxy-IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

    3. Proxy Protocol – Velg http (viser og kontrollerer alle forespørsler som mottas fra klienten) eller https (gir en kanal til serveren, og klienten mottar og validerer serverens sertifikat). Velg et alternativ basert på hva proxy-serveren støtter.

    4. Godkjenningstype– velg blant følgende godkjenningstyper:

      • Ingen – Ingen ytterligere godkjenning er nødvendig.

        Tilgjengelig for HTTP- eller HTTPS-proxyer.

      • Grunnleggende – Brukes for en HTTP-brukeragent til å oppgi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

        Tilgjengelig for HTTP- eller HTTPS-proxyer.

        Hvis du velger dette alternativet, må du også angi brukernavn og passord.

      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

        Kun tilgjengelig for HTTPS-proxyer.

        Hvis du velger dette alternativet, må du også angi brukernavn og passord.

Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en eksplisitt HTTP-proxy med grunnleggende godkjenning eller en eksplisitt HTTPS-proxy.

3

Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen.

Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på chevron-pilen ved navnet på sertifikatutstederen for å få mer informasjon, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt.

4

Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen.

Hvis tilkoblingstesten mislykkes, får du en feilmelding som viser årsaken og hvordan du kan løse problemet.

Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne tilstanden forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene og ser Slå av blokkert ekstern DNS-oppløsningsmodus.

5

Etter at tilkoblingstesten er bestått, bare for eksplisitt proxy satt til https, slår du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen tar 15 sekunder før den trer i kraft.

6

Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en eksplisitt HTTP-proxy), les ledeteksten og klikk deretter på Installer hvis du er klar.

Noden starter på nytt innen noen få minutter.

7

Etter at noden har startet på nytt, logger du på igjen om nødvendig og åpner deretter Oversikt -siden for å sjekke tilkoblingskontrollene for å sikre at alle er i grønn status.

Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det er tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen.

Registrer den første noden i klyngen

Denne oppgaven tar den generiske noden du opprettet i Konfigurer VM for hybrid datasikkerhet, registrerer noden i Webex-skyen og gjør den om til en hybrid datasikkerhetsnode.

Når du registrerer din første node, oppretter du en klynge som noden er tilordnet til. En klynge inneholder én eller flere noder som er distribuert for å gi redundans.

Før du begynner

  • Når du begynner å registrere en node, må du fullføre den innen 60 minutter, eller du må starte på nytt.

  • Sørg for at eventuelle popup-blokkere i nettleseren er deaktivert, eller at du tillater et unntak for admin.webex.com.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du kortet for hybriddatasikkerhet og klikker på Konfigurer.

4

Klikk på Legg til en ressurs på siden som åpnes.

5

I det første feltet i Legg til en node -kortet skriver du inn et navn på klyngen du vil tilordne hybriddatasikkerhetsnoden til.

Vi anbefaler at du navngir en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

6

I det andre feltet skriver du inn den interne IP-adressen eller det fullstendige domenenavnet (FQDN) til noden og klikker på Legg til nederst på skjermen.

Denne IP-adressen eller FQDN skal samsvare med IP-adressen eller vertsnavnet og domenet du brukte i Konfigurere VM for hybriddatasikkerhet.

Det vises en melding som angir at du kan registrere noden din til Webex.
7

Klikk på Gå til node.

Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelse til Webex-organisasjonen din for å få tilgang til noden din.

8

Merk av i avkrysningsboksen Gi tilgang til din hybride datasikkerhetsnode , og klikk deretter på Fortsett.

Kontoen din er validert, og meldingen «Registreringen er fullført» indikerer at noden din nå er registrert i Webex-skyen.
9

Klikk på koblingen eller lukk fanen for å gå tilbake til Partner Hub Hybrid Data Security-siden.

På siden Hybriddatasikkerhet vises den nye klyngen som inneholder noden du registrerte, under Ressurser -fanen. Noden vil automatisk laste ned den nyeste programvaren fra skyen.

Opprett og registrer flere noder

Hvis du vil legge til flere noder i klyngen, oppretter du ganske enkelt flere VM-er og monterer den samme ISO-konfigurasjonsfilen og registrerer noden. Vi anbefaler at du har minst 3 noder.

Før du begynner

  • Når du begynner å registrere en node, må du fullføre den innen 60 minutter, eller du må starte på nytt.

  • Sørg for at eventuelle popup-blokkere i nettleseren er deaktivert, eller at du tillater et unntak for admin.webex.com.

1

Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA.

2

Konfigurer den første konfigurasjonen på den nye VM-en, og gjenta trinnene i Konfigurer VM for hybriddatasikkerhet.

3

På den nye VM gjentar du trinnene i Last opp og monter HDS-konfigurasjons-ISO.

4

Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrasjon etter behov for den nye noden.

5

Registrer noden.

  1. I https://admin.webex.com velger du Tjenester fra menyen til venstre på skjermen.

  2. Finn kortet for hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

    Siden Ressurser for hybriddatasikkerhet vises.

  3. Den nylig opprettede klyngen vises på Ressurser -siden.

  4. Klikk på klyngen for å vise nodene som er tilordnet klyngen.

  5. Klikk på Legg til en node til høyre på skjermen.

  6. Skriv inn den interne IP-adressen eller fullt kvalifisert domenenavn (FQDN) til noden, og klikk på Legg til.

    En side åpnes med en melding om at du kan registrere noden din i Webex-skyen. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi organisasjonen tillatelse til å få tilgang til noden din.

  7. Merk av i avkrysningsboksen Gi tilgang til din hybride datasikkerhetsnode , og klikk deretter på Fortsett.

    Kontoen din er validert, og meldingen «Registreringen er fullført» indikerer at noden din nå er registrert i Webex-skyen.

  8. Klikk på koblingen eller lukk fanen for å gå tilbake til Partner Hub Hybrid Data Security-siden.

    Node lagt til popup-melding vises også nederst på skjermen i Partner Hub.

    Noden din er registrert.

Administrere leietakerorganisasjoner for hybriddatasikkerhet for flere leietakere

Aktivere HDS for flere leietakere på Partner Hub

Denne oppgaven sikrer at alle brukere av kundeorganisasjonene kan begynne å bruke HDS for lokale krypteringsnøkler og andre sikkerhetstjenester.

Før du begynner

Sørg for at du har fullført konfigureringen av HDS-klyngen for flere leietakere med det nødvendige antallet noder.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Rediger innstillinger.

4

Klikk på Aktiver HDS på kortet HDS-status .

Legg til leietakerorganisasjoner i Partner Hub

I denne oppgaven tilordner du kundeorganisasjoner til din hybride datasikkerhetsklynge.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

Finn hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

4

Klikk på klyngen du vil at en kunde skal tilordnes til.

5

Gå til fanen Tilordnede kunder .

6

Klikk på Legg til kunder.

7

Velg kunden du vil legge til, fra rullegardinmenyen.

8

Klikk på Legg til, kunden blir lagt til i klyngen.

9

Gjenta trinn 6 til 8 for å legge til flere kunder i klyngen.

10

Klikk på Ferdig nederst på skjermen når du har lagt til kundene.

Hva du skal gjøre nå

Kjør HDS-installasjonsverktøyet som beskrevet i Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-installasjonsverktøyet for å fullføre installasjonsprosessen.

Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-installasjonsverktøyet

Før du begynner

Tilordne kunder til riktig klynge som beskrevet i Legg til leietakerorganisasjoner i Partner Hub. Kjør HDS-installasjonsverktøyet for å fullføre installasjonsprosessen for de nylig tillagte kundeorganisasjonene.

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, for eksempel disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i godkjenningspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du distribusjonen av PostgreSQL eller SQL Server for TLS.

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

Klikk på Ja på siden ISO-import.

10

Velg ISO-filen i nettleseren og last den opp.

Sørg for tilkobling til databasen din for å utføre CMK-administrasjon.
11

Gå til fanen Leietakers CMK-administrasjon , der du finner følgende tre måter å administrere leietakers CMK-er på.

  • Opprett CMK for alle organisasjoner eller Opprett CMK – Klikk på denne knappen på banneret øverst på skjermen for å opprette CMK for alle organisasjoner som nylig er lagt til.
  • Klikk på knappen Administrer CMK-er til høyre på skjermen, og klikk på Opprett CMK-er for å opprette CMK-er for alle nylig tillagte organisasjoner.
  • Klikk på … nær CMK-administrasjonen som venter på status for en bestemt organisasjon i tabellen, og klikk på Opprett CMK for å opprette CMK for den organisasjonen.
12

Når CMK opprettes, endres statusen i tabellen fra CMK-administrasjon venter til CMK-administrert.

13

Hvis opprettelsen av CMK mislykkes, vises en feilmelding.

Fjern leietakerorganisasjoner

Før du begynner

Når de er fjernet, vil ikke brukere av kundeorganisasjoner kunne utnytte HDS for sine krypteringsbehov og vil miste alle eksisterende områder. Før du fjerner kundeorganisasjoner, må du kontakte din Cisco-partner eller kontoadministrator.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

Finn hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

4

I fanen Ressurser klikker du på klyngen du vil fjerne kundeorganisasjoner fra.

5

Klikk på Tilordnede kunder på siden som åpnes.

6

Fra listen over kundeorganisasjoner som vises, klikker du på til høyre for kundeorganisasjonen du vil fjerne, og klikker på Fjern fra klynge.

Hva du skal gjøre nå

Fullfør fjerningsprosessen ved å tilbakekalle kundeorganisasjonens CMK-er, som beskrevet i Tilbakekall CMK-er for leiere som er fjernet fra HDS.

Tilbakekall CMK-er for leiere som er fjernet fra HDS.

Før du begynner

Fjern kunder fra den aktuelle klyngen som beskrevet i Fjern leietakerorganisasjoner. Kjør HDS-installasjonsverktøyet for å fullføre fjerningsprosessen for kundeorganisasjonene som ble fjernet.

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, for eksempel disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i godkjenningspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du distribusjonen av PostgreSQL eller SQL Server for TLS.

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

Klikk på Ja på siden ISO-import.

10

Velg ISO-filen i nettleseren og last den opp.

11

Gå til fanen Leietakers CMK-administrasjon , der du finner følgende tre måter å administrere leietakers CMK-er på.

  • Tilbakekall CMK for alle organisasjoner eller Tilbakekall CMK – Klikk på denne knappen på banneret øverst på skjermen for å tilbakekalle CMK for alle organisasjoner som ble fjernet.
  • Klikk på knappen Administrer CMK-er til høyre på skjermen, og klikk på Tilbakekall CMK-er for å tilbakekalle CMK-er for alle organisasjoner som ble fjernet.
  • Klikk på i nærheten av CMK for å bli tilbakekalt status for en bestemt organisasjon i tabellen, og klikk på Tilbakekall CMK for å tilbakekalle CMK for den bestemte organisasjonen.
12

Når CMK-opphevelse er fullført, vises ikke kundeorganisasjonen lenger i tabellen.

13

Hvis CMK-tilbakekalling mislykkes, vises en feil.

Test distribusjonen av hybrid datasikkerhet

Test distribusjonen av hybrid datasikkerhet

Bruk denne fremgangsmåten til å teste scenarier for kryptering av hybriddatasikkerhet for flere leietakere.

Før du begynner

  • Konfigurer distribusjonen av hybriddatasikkerhet for flere leietakere.

  • Sørg for at du har tilgang til syslog for å bekrefte at viktige forespørsler sendes til din distribusjon av hybriddatasikkerhet for flere leietakere.

1

Nøkler for et gitt område angis av skaperen av området. Logg på Webex-appen som en av brukerne av kundeorganisasjonen, og opprett deretter et område.

Hvis du deaktiverer distribusjonen av hybriddatasikkerhet, er ikke innhold i områder som brukere oppretter, lenger tilgjengelig når de klientbufrede kopiene av krypteringsnøklene er erstattet.

2

Send meldinger til det nye området.

3

Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til distribusjonen av hybriddatasikkerhet.

  1. Hvis du vil se etter en bruker først å opprette en sikker kanal til KMS, filtrerer du på kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du bør finne en oppføring som følgende (identifikatorer forkortet for lesbarhet):
    2020-07-21 17:35:34.562 (+0000) INFORMASJON KMS [pool-14-thread-1] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Kjælebarn: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Hvis du vil se etter en bruker som ber om en eksisterende nøkkel fra KMS, filtrerer du på kms.data.method=retrieve og kms.data.type=KEY:

    Du bør finne en oppføring som:
    2020-07-21 17:44:19.889 (+0000) INFORMASJON KMS [pool-14-thread-31] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Hvis du vil se etter en bruker som ber om å opprette en ny KMS-nøkkel, filtrerer du på kms.data.method=create og kms.data.type=KEY_COLLECTION:

    Du bør finne en oppføring som:
    2020-07-21 17:44:21.975 (+0000) INFORMASJON KMS [pool-14-thread-33] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Hvis du vil se etter en bruker som ber om opprettelse av et nytt KMS-ressursobjekt (KRO) når et område eller en annen beskyttet ressurs opprettes, filtrerer du på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

    Du bør finne en oppføring som: 
    2020-07-21 17:44:22.808 (+0000) INFORMASJON KMS [pool-15-thread-1] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåk sikkerhets helse for hybriddata

En statusindikator i Partner Hub viser deg om alt er bra med distribusjonen av hybriddatasikkerhet for flere leietakere. For mer proaktive varsler, registrer deg for e-postvarsler. Du blir varslet når det er alarmer eller programvareoppgraderinger som påvirker tjenesten.
1

I Partner Hub velger du Tjenester fra menyen til venstre på skjermen.

2

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Rediger innstillinger.

Siden Innstillinger for hybriddatasikkerhet vises.
3

Skriv inn én eller flere e-postadresser atskilt med komma i delen E-postvarsler, og trykk på Enter.

Administrer HDS-distribusjonen din

Administrer HDS-distribusjon

Bruk oppgavene som er beskrevet her for å administrere distribusjonen av hybriddatasikkerhet.

Angi tidsplan for klyngeoppgradering

Programvareoppgraderinger for hybrid datasikkerhet utføres automatisk på klyngenivå, noe som sikrer at alle noder alltid kjører samme programvareversjon. Oppgraderinger utføres i henhold til oppgraderingsplanen for klyngen. Når en programvareoppgradering blir tilgjengelig, har du muligheten til å oppgradere klyngen manuelt før det planlagte oppgraderingstidspunktet. Du kan angi en bestemt oppgraderingsplan eller bruke standardplanen kl. 3:00 AM Daily USA: Amerika/Los Angeles. Du kan også velge å utsette en kommende oppgradering, om nødvendig.

Slik angir du oppgraderingsplanen:

1

Logg på Partner Hub.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Konfigurer

4

Velg klyngen på siden Hybrid Data Security Resources.

5

Klikk på fanen Klyngeinnstillinger .

6

Velg klokkeslett og tidssone for oppgraderingsplanen på siden Klyngeinnstillinger under Oppgraderingsplan.

Merk: Under tidssonen vises neste tilgjengelige oppgraderingsdato og -klokkeslett. Du kan utsette oppgraderingen til neste dag ved å klikke på Utsett med 24 timer.

Endre nodekonfigurasjonen

Av og til må du kanskje endre konfigurasjonen av den hybride datasikkerhetsnoden av en grunn som:

  • Endring av x.509-sertifikater på grunn av utløp eller andre årsaker.

    Vi støtter ikke endring av CN-domenenavnet for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.

  • Oppdaterer databaseinnstillinger for å endre til en kopi av PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt måte. Start en ny distribusjon av hybriddatasikkerhet for å bytte databasemiljøet.

  • Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.

Av sikkerhetshensyn bruker Hybrid Data Security også passord for tjenestekontoer som har en levetid på ni måneder. Når HDS-installasjonsverktøyet har generert disse passordene, distribuerer du dem til hver av HDS-nodene i ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløpsdato, mottar du et varsel fra Webex-teamet om å tilbakestille passordet for maskinkontoen din. (E-posten inneholder teksten "Bruk maskinkontoens API til å oppdatere passordet.") Hvis passordene dine ikke er utløpt ennå, gir verktøyet deg to alternativer:

  • Myk tilbakestilling– De gamle og de nye passordene fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.

  • Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.

Hvis passordene utløper uten tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.

Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.

Før du begynner

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fullstendige partneradministratorrettigheter.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i 1.e. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i godkjenningspolicyen.

1

Kjør HDS-installasjonsverktøyet ved hjelp av Docker på en lokal maskin.

  1. På maskinens kommandolinje angir du riktig kommando for miljøet:

    I vanlige miljøer:

    docker rmi ciscocitg/hds-oppsett:stabil

    I FedRAMP-miljøer:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

  2. Skriv inn følgende for å logge på Docker-bilderegisteret:

    innlogging for dokkers brukerstøtte

  3. Skriv inn denne hashen når du blir bedt om passord:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Last ned det nyeste stabile bildet for miljøet ditt:

    I vanlige miljøer:

    hengslet trekk ciscocitg/hds-oppsett:stabil

    I FedRAMP-miljøer:

    hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil

    Sørg for at du bruker det nyeste installasjonsverktøyet for denne prosedyren. Versjoner av verktøyet som er opprettet før 22. februar 2018, har ikke skjermbildene for tilbakestilling av passord.

  5. Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

    • I vanlige miljøer uten proxy:

      docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

    • I vanlige miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I vanlige miljøer med HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljøer uten proxy:

      docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

    • I FedRAMP-miljøer med HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Når containeren kjører, ser du "Express server lytter på port 8080."

  6. Bruk en nettleser til å koble til localhost, http://127.0.0.1:8080.

    Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

  7. Når du blir bedt om det, skriver du inn påloggingslegitimasjonen til Partner Hub-kunden og klikker deretter på Godta for å fortsette.

  8. Importer gjeldende ISO-konfigurasjonsfil.

  9. Følg instruksjonene for å fullføre verktøyet og laste ned den oppdaterte filen.

    Hvis du vil slå av installasjonsverktøyet, skriver du inn CTRL+C.

  10. Opprett en sikkerhetskopi av den oppdaterte filen i et annet datasenter.

2

Hvis du bare kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den ved hjelp av den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, kan du se Opprette og registrere flere noder.

  1. Installer HDS-verten OVA.

  2. Sett opp HDS VM.

  3. Monter den oppdaterte konfigurasjonsfilen.

  4. Registrer den nye noden i Partner Hub.

3

Montere ISO-filen for eksisterende HDS-noder som kjører den eldre konfigurasjonsfilen. Utfør følgende prosedyre på hver node igjen, og oppdater hver node før du slår av neste node:

  1. Slå av den virtuelle maskinen.

  2. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

  3. Klikk på CD/DVD-stasjon 1, velg alternativet for montering fra en ISO-fil, og bla til plasseringen der du lastet ned den nye ISO-konfigurasjonsfilen.

  4. Merk av for Koble til ved strøm på.

  5. Lagre endringene og strøm på den virtuelle maskinen.

4

Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen.

Slå av blokkert ekstern DNS-oppløsningsmodus

Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modus for blokkert ekstern DNS-oppløsning.

Hvis nodene dine kan løse offentlige DNS-navn gjennom interne DNS-servere, kan du slå av denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.

Før du begynner

Sørg for at dine interne DNS-servere kan løse offentlige DNS-navn, og at nodene dine kan kommunisere med dem.
1

Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/oppsett, for eksempel https://192.0.2.0/setup), angi administratorlegitimasjonen du har konfigurert for noden, og klikk deretter på Logg på.

2

Gå til Oversikt (standardsiden).

Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja.

3

Gå til siden Klareringslager og proxy .

4

Klikk på Kontroller proxy-tilkobling.

Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og vil forbli i denne modusen. Hvis ikke, etter at du har startet noden på nytt og gått tilbake til Oversikt -siden, skal Blokkert ekstern DNS-oppløsning settes til Nei.

Hva du skal gjøre nå

Gjenta proxy-tilkoblingstesten på hver node i klyngen for hybriddatasikkerhet.

Fjerne en node

Bruk denne fremgangsmåten for å fjerne en hybrid datasikkerhetsnode fra Webex-skyen. Når du har fjernet noden fra klyngen, sletter du den virtuelle maskinen for å hindre ytterligere tilgang til sikkerhetsdataene dine.
1

Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuelle maskinen.

2

Fjern noden:

  1. Logg på Partner Hub, og velg deretter Tjenester.

  2. Klikk på Vis alle på kortet for hybriddatasikkerhet for å vise siden for hybriddatasikkerhetsressurser.

  3. Velg klyngen din for å vise oversiktspanelet.

  4. Klikk på noden du vil fjerne.

  5. Klikk på Avregistrer denne noden i panelet som vises til høyre

  6. Du kan også avregistrere noden ved å klikke … til høyre for noden og velge Fjern denne noden.

3

Slett VM-en i vSphere-klienten. (Høyreklikk på VM i venstre navigasjonsrute, og klikk på Slett.)

Hvis du ikke sletter VM-en, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke VM til å få tilgang til sikkerhetsdataene dine.

Katastrofegjenoppretting ved hjelp av standbydatasenter

Den mest kritiske tjenesten som din hybride datasikkerhetsklynge tilbyr, er oppretting og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet hybriddatasikkerhet, rutes nye forespørsler om nøkkeloppretting til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.

Fordi klyngen utfører den kritiske funksjonen med å levere disse nøklene, er det viktig at klyngen forblir i drift og at riktige sikkerhetskopier opprettholdes. Tap av hybriddatasikkerhetsdatabasen eller konfigurasjons-ISO som brukes for skjemaet, vil føre til UGJENOPPRETTELIG TAP av kundeinnhold. Følgende fremgangsmåter er obligatoriske for å forhindre et slikt tap:

Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenteret blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til standbydatasenteret.

Før du begynner

Avregistrer alle noder fra Partner Hub som nevnt i Fjern en node. Bruk den nyeste ISO-filen som ble konfigurert mot nodene i klyngen som tidligere var aktiv, til å utføre failover-prosedyren som er nevnt nedenfor.
1

Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-verter.

2

Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne.

3

Ta en sikkerhetskopi av ISO-filen på ditt lokale system. Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer.

4

Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

5

Klikk på Rediger innstillinger >CD/DVD-stasjon 1 og velg ISO-fil for datalager.

Kontroller at Tilkoblet og Koble til ved påslått er merket av slik at oppdaterte konfigurasjonsendringer kan tre i kraft etter at nodene er startet.

6

Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 15 minutter.

7

Registrer noden i Partner Hub. Se Registrer den første noden i klyngen.

8

Gjenta prosessen for hver node i standbydatasenteret.

Hva du skal gjøre nå

Hvis det primære datasenteret blir aktivt igjen etter failover, avregistrerer du nodene i standby-datasenteret og gjentar prosessen med å konfigurere ISO og registrere noder i det primære datasenteret som nevnt ovenfor.

(Valgfritt) Fjern ISO etter HDS-konfigurasjon

Standard HDS-konfigurasjon kjøres med ISO-montert. Men noen kunder foretrekker ikke å forlate ISO-filer kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-nodene har tatt opp den nye konfigurasjonen.

Du bruker fortsatt ISO-filene til å foreta konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO gjennom installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en igjen med denne fremgangsmåten.

Før du begynner

Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.

1

Slå av en av HDS-nodene dine.

2

Velg HDS-noden i vCenter Server Appliance.

3

Velg Rediger innstillinger > CD/DVD-stasjon og fjern merket for ISO-fil for datalager.

4

Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 20 minutter.

5

Gjenta for hver HDS-node i sin tur.

Feilsøke hybrid datasikkerhet

Vis varsler og feilsøking

En distribusjon av hybriddatasikkerhet anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller klyngen fungerer så sakte at forespørslene blir tidsavbrutt. Hvis brukere ikke kan nå din hybride datasikkerhetsklynge, opplever de følgende symptomer:

  • Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)

  • Meldinger og områdetitler kan ikke dekrypteres for:

    • Nye brukere lagt til i et område (kan ikke hente nøkler)

    • Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)

  • Eksisterende brukere i et område vil fortsette å kjøre vellykket så lenge klientene deres har en hurtigbuffer med krypteringsnøklene

Det er viktig at du overvåker den hybride datasikkerhetsklyngen riktig og adresserer eventuelle varsler umiddelbart for å unngå tjenesteavbrudd.

Varsler

Hvis det er et problem med oppsettet av hybriddatasikkerhet, viser Partner Hub varsler til organisasjonens administrator og sender e-post til den konfigurerte e-postadressen. Varslene dekker mange vanlige scenarier.

Tabell 1. Vanlige problemer og fremgangsmåten for å løse dem

Varsel

Handling

Feil ved tilgang til lokal database.

Se etter databasefeil eller lokale nettverksproblemer.

Feil ved lokal databasetilkobling.

Kontroller at databaseserveren er tilgjengelig, og at riktig tjenestekontolegitimasjon ble brukt i nodekonfigurasjonen.

Feil ved tilgang til skytjeneste.

Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling.

Fornye registrering av skytjeneste.

Registrering til skytjenester ble avbrutt. Fornyelse av registrering pågår.

Registrering av skytjeneste avbrutt.

Registrering til skytjenester avsluttet. Tjenesten er stengt.

Tjenesten er ikke aktivert ennå.

Aktiver HDS i Partner Hub.

Konfigurert domene samsvarer ikke med serversertifikatet.

Kontroller at serversertifikatet samsvarer med det konfigurerte tjenesteaktiveringsdomenet.

Den mest sannsynlige årsaken er at sertifikatets CN nylig ble endret og nå er forskjellig fra CN som ble brukt under den første installasjonen.

Kunne ikke autentisere seg til skytjenester.

Sjekk for nøyaktighet og mulig utløp av legitimasjon for tjenestekontoen.

Kunne ikke åpne lokal nøkkelbutikkfil.

Kontroller integritet og passordnøyaktighet på den lokale nøkkelbutikkfilen.

Det lokale serversertifikatet er ugyldig.

Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans.

Kan ikke legge ut måledata.

Kontroller lokal nettverkstilgang til eksterne skytjenester.

/media/configdrive/hds-katalog finnes ikke.

Kontroller konfigurasjonen av ISO-monteringen på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å monteres ved omstart, og at den monteres.

Oppsett av leietakerorganisasjon er ikke fullført for de tilførte organisasjonene

Fullfør oppsettet ved å opprette CMK-er for nylig tillagte leietakerorganisasjoner ved hjelp av HDS-installasjonsverktøyet.

Oppsett av leietakerorganisasjon er ikke fullført for fjernede organisasjoner

Fullfør oppsettet ved å tilbakekalle CMK-er for leietakerorganisasjoner som ble fjernet ved hjelp av HDS-installasjonsverktøyet.

Feilsøke hybrid datasikkerhet

Bruk følgende generelle retningslinjer når du feilsøker problemer med hybriddatasikkerhet.
1

Se gjennom Partner Hub for eventuelle varsler og fikse eventuelle elementer du finner der. Se bildet nedenfor for referanse.

2

Se gjennom syslog-serverens utdata for aktivitet fra distribusjonen av hybriddatasikkerhet. Filtrer etter ord som "Advarsel" og "Feil" for å hjelpe til med feilsøking.

3

Kontakt Ciscos kundestøtte.

Andre merknader

Kjente problemer for hybrid datasikkerhet

  • Hvis du avslutter klyngen for hybriddatasikkerhet (ved å slette den i Partner Hub eller ved å avslutte alle noder), mister konfigurasjons-ISO-filen eller mister tilgangen til nøkkelbutikkdatabasen, kan ikke Webex-appbrukere i kundeorganisasjoner lenger bruke områder under Personer-listen sin som ble opprettet med nøkler fra KMS. Vi har for øyeblikket ingen løsning eller løsning på dette problemet, og vi oppfordrer deg til ikke å avslutte HDS-tjenestene når de håndterer aktive brukerkontoer.

  • En klient som har en eksisterende ECDH-tilkobling til en KMS opprettholder denne tilkoblingen i en tidsperiode (sannsynligvis én time).

Bruk OpenSSL til å generere en PKCS12-fil

Før du begynner

  • OpenSSL er et verktøy som kan brukes til å lage PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi støtter ikke eller fremmer en måte fremfor en annen.

  • Hvis du velger å bruke OpenSSL, tilbyr vi denne prosedyren som en veiledning for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i X.509-sertifikatkrav. Forstå disse kravene før du fortsetter.

  • Installer OpenSSL i et støttet miljø. Se https://www.openssl.org for programvare og dokumentasjon.

  • Opprett en privat nøkkel.

  • Start denne prosedyren når du mottar serversertifikatet fra Certificate Authority (CA).

1

Når du mottar serversertifikatet fra din CA, lagrer du det som hdsnode.pem.

2

Vis sertifikatet som tekst og bekreft detaljene.

openssl x509 -tekst -noout -i hdsnode.pem

3

Bruk et tekstredigeringsprogram til å opprette en sertifikatbuntfil kalt hdsnode-bundle.pem. Pakkefilen må inneholde serversertifikatet, eventuelle mellomliggende CA-sertifikater og rot-CA-sertifikatene i formatet nedenfor:

-----start sertifikat------ ### Serversertifikat ### -----end sertifikat------------ start sertifikat----- ### Mellomliggende CA-sertifikat. ### -----end sertifikat------------ start sertifikat----- ### Rot-CA-sertifikat. ### -----end sertifikat-----

4

Opprett .p12-filen med det vennlige navnet kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontroller serversertifikatdetaljene.

  1. openssl pkcs12 -i eno-dsnode.p12

  2. Skriv inn et passord når du blir bedt om å kryptere den private nøkkelen slik at den blir oppført i utdata. Deretter bekrefter du at den private nøkkelen og det første sertifikatet inkluderer linjene vennligeName: kms-privat nøkkel.

    Eksempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Angi importpassord: MAC bekreftet OK Bag-attributter friendlyName: kms-privat nøkkel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nøkkelattributter:  Angi PEM-passfrase: Bekreft – angi PEM-passfrase: -----BEGIN KRYPTERT PRIVAT NØKKEL-----  -----END KRYPTERT PRIVAT NØKKEL----- Bag Attributter friendlyName: kms-privat nøkkel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=La oss kryptere/CN=La oss kryptere autoritet X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Posens attributter friendlyName: CN=La oss kryptere myndighet X3,O=La oss kryptere,C=US subject=/C=US/O=La oss kryptere myndighet X3 utsteder=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE------

Hva du skal gjøre nå

Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet. Du bruker hdsnode.p12 -filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-verter.

Du kan bruke disse filene på nytt for å be om et nytt sertifikat når det opprinnelige sertifikatet utløper.

Trafikk mellom HDS-nodene og skyen

Utgående metrikkinnsamlingstrafikk

Nodene for hybriddatasikkerhet sender visse målinger til Webex-skyen. Disse inkluderer systemmålinger for maks. heap, heap brukt, CPU-belastning og antall tråder, målinger på synkrone og asynkrone tråder, målinger på varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller lengde på en forespørselskø, målinger på datalageret og krypteringstilkoblingsmålinger. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).

Innkommende trafikk

Nodene for hybriddatasikkerhet mottar følgende typer innkommende trafikk fra Webex-skyen:

  • Krypteringsforespørsler fra klienter som rutes av krypteringstjenesten

  • Oppgraderinger til nodeprogramvaren

Konfigurere Squid-proxyer for hybriddatasikkerhet

Websocket kan ikke koble til via Squid-proxy

Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av websocket-tilkoblinger (wss:) som hybriddatasikkerhet krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss: trafikk for riktig drift av tjenestene.

Squid 4 og 5

Legg til on_unsupported_protocol direktivet i squid.conf:

on_unsupported_protocol tunnel alle

Squid 3.5.27

Vi testet hybriddatasikkerhet med følgende regler lagt til i squid.conf. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.

acl wssMercuryConnection ssl::server_name_regex mercury-tilkobling ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump titte step1 alle ssl_bump stirre step2 alle ssl_bump bump step3 alle

Ny og endret informasjon

Ny og endret informasjon

Denne tabellen dekker nye funksjoner eller funksjonalitet, endringer i eksisterende innhold og eventuelle store feil som ble løst i distribusjonsveiledningen for hybriddatasikkerhet for flere leietakere.

Dato

Endringer gjort

08. januar 2025

La til en merknad i Utfør innledende konfigurering og nedlasting av installasjonsfiler som sier at det er et viktig trinn i installasjonsprosessen å klikke på Konfigurer på HDS-kortet i Partner Hub.

07. januar 2025

Oppdaterte krav til virtuell vert, oppgaveflyt for distribusjon av hybrid datasikkerhet og Installer HDS Host OVA for å vise nye krav til ESXi 7.0.

13. desember 2024

Først publisert.

Deaktivere hybriddatasikkerhet for flere leietakere

Oppgaveflyt for deaktivering av HDS for flere leietakere

Følg disse trinnene for å deaktivere HDS for flere leietakere fullstendig.

Før du begynner

Denne oppgaven skal bare utføres av en fullstendig partneradministrator.
1

Fjern alle kunder fra alle klyngene dine, som nevnt i Fjern leietakerorganisasjoner.

2

Tilbakekall CMK-er for alle kunder, som nevnt i Tilbakekall CMK-er for leiere som er fjernet fra HDS..

3

Fjern alle noder fra alle klyngene dine, som nevnt i Fjern en node.

4

Slett alle klyngene dine fra Partner Hub ved hjelp av én av følgende to metoder.

  • Klikk på klyngen du vil slette, og velg Slett denne klyngen øverst til høyre på oversiktssiden.
  • På Ressurser-siden klikker du på … til høyre for en klynge, og velger Fjern klynge.
5

Klikk på fanen Innstillinger på oversiktssiden for hybriddatasikkerhet, og klikk på Deaktiver HDS på HDS-statuskortet.

Kom i gang med hybriddatasikkerhet for flere leietakere

Oversikt over hybriddatasikkerhet for flere leietakere

Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er innholdskryptering fra ende-til-ende, aktivert av Webex-appklienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografiske nøkler som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.

Som standard får alle Webex-appkunder ende-til-ende-kryptering med dynamiske nøkler lagret i skyen KMS, i Ciscos sikkerhetsområde. Hybrid Data Security flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, så ingen andre enn deg har nøklene til ditt krypterte innhold.

Hybriddatasikkerhet med flere leietakere gjør det mulig for organisasjoner å utnytte HDS gjennom en klarert lokal partner, som kan fungere som tjenesteleverandør og administrere lokal kryptering og andre sikkerhetstjenester. Dette oppsettet gjør det mulig for partnerorganisasjonen å ha full kontroll over distribusjon og administrasjon av krypteringsnøkler og sikrer at brukerdata fra kundeorganisasjoner er trygge mot ekstern tilgang. Partnerorganisasjoner setter opp HDS-forekomster og oppretter HDS-klynger etter behov. Hver forekomst kan støtte flere kundeorganisasjoner i motsetning til en vanlig HDS-distribusjon som er begrenset til én enkelt organisasjon.

Selv om partnerorganisasjoner har kontroll over distribusjon og administrasjon, har de ikke tilgang til data og innhold som genereres av kunder. Denne tilgangen er begrenset til kundeorganisasjoner og deres brukere.

Dette gjør det også mulig for mindre organisasjoner å utnytte HDS, siden tjeneste for nøkkeladministrasjon og sikkerhetsinfrastruktur som datasentre eies av den klarerte lokale partneren.

Hvordan hybriddatasikkerhet for flere leietakere gir datasuverenitet og datakontroll

  • Brukergenerert innhold er beskyttet mot ekstern tilgang, for eksempel skytjenesteleverandører.
  • Lokale klarerte partnere administrerer krypteringsnøklene til kunder de allerede har etablert relasjoner med.
  • Alternativ for lokal teknisk støtte, hvis den leveres av partneren.
  • Støtter innhold i møter, meldinger og anrop.

Dette dokumentet er ment å hjelpe partnerorganisasjoner med å konfigurere og administrere kunder under et hybriddatasikkerhetssystem for flere leietakere.

Roller i hybriddatasikkerhet for flere leietakere

  • Fullstendig partneradministrator – Kan administrere innstillinger for alle kunder som partneren administrerer. Kan også tilordne administratorroller til eksisterende brukere i organisasjonen og tilordne bestemte kunder som skal administreres av partneradministratorer.
  • Partneradministrator – Kan administrere innstillinger for kunder som administratoren har klargjort, eller som er tilordnet brukeren.
  • Fullverdig administrator – Administrator for partnerorganisasjonen som er autorisert til å utføre oppgaver som å endre organisasjonsinnstillinger, administrere lisenser og tilordne roller.
  • Oppsett og administrasjon av HDS med flere leietakere fra ende til ende for alle kundeorganisasjoner – fullstendig partneradministrator og fullstendige administratorrettigheter kreves.
  • Administrasjon av tilordnede leietakerorganisasjoner – Partneradministrator og fullstendige administratorrettigheter kreves.

Sikkerhetsområde arkitektur

Webex-skyarkitekturen skiller forskjellige typer tjenester inn i separate områder, eller klareringsdomener, som vist nedenfor.

Områder for separasjon (uten hybrid datasikkerhet)

For å forstå hybrid datasikkerhet ytterligere, la oss først se på dette rene skytilfellet, der Cisco leverer alle funksjonene i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan være direkte korrelert med sine personopplysninger, for eksempel e-postadresse, er logisk og fysisk adskilt fra sikkerhetsområdet i datasenter B. Begge er i sin tur adskilt fra området der kryptert innhold lagres, i datasenter C.

I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og er godkjent med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:

  1. Klienten oppretter en sikker tilkobling til nøkkeladministrasjonstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikre tilkoblingen bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en hovednøkkel AES-256.

  2. Meldingen krypteres før den forlater klienten. Klienten sender det til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe i fremtidige søk etter innholdet.

  3. Den krypterte meldingen sendes til samsvarstjenesten for kontroll av samsvar.

  4. Den krypterte meldingen lagres i lagringsområdet.

Når du distribuerer hybrid datasikkerhet, flytter du sikkerhetsområdefunksjonene (KMS, indeksering og samsvar) til det lokale datasenteret. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos områder.

Samarbeide med andre organisasjoner

Brukere i organisasjonen kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen din (fordi det ble opprettet av en av brukerne), sender KMS nøkkelen til klienten via en ECDH-sikret kanal. Når en annen organisasjon eier nøkkelen for området, sender KMS imidlertid forespørselen ut til Webex-skyen via en egen ECDH-kanal for å hente nøkkelen fra den aktuelle KMS, og returnerer deretter nøkkelen til brukeren din på den opprinnelige kanalen.

KMS-tjenesten som kjører på Org A, validerer tilkoblingene til KMS i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet hvis du vil ha mer informasjon om hvordan du genererer et x.509-sertifikat som skal brukes med distribusjonen av hybriddatasikkerhet for flere leietakere.

Forventninger til distribusjon av hybrid datasikkerhet

En distribusjon av hybrid datasikkerhet krever betydelig forpliktelse og bevissthet om risikoene som følger med å eie krypteringsnøkler.

For å distribuere hybrid datasikkerhet må du oppgi:

Fullstendig tap av enten konfigurasjons-ISO-en du bygger for hybriddatasikkerhet eller databasen du leverer, vil føre til tap av nøklene. Nøkkeltap hindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:

  • Administrer sikkerhetskopiering og gjenoppretting av databasen og konfigurasjons-ISO.

  • Vær forberedt på å utføre rask katastrofegjenoppretting hvis en katastrofe oppstår, for eksempel databasediskfeil eller datasenterkatastrofe.

Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon.

Oppsettsprosess på høyt nivå

Dette dokumentet dekker oppsettet og administrasjonen av en distribusjon av hybriddatasikkerhet for flere leietakere:

  • Konfigurere hybrid datasikkerhet – Dette inkluderer klargjøring av nødvendig infrastruktur og installering av hybrid datasikkerhetsprogramvare, bygging av en HDS-klynge, tillegging av leierorganisasjoner i klyngen og administrasjon av kundens hovednøkler (CMK-er). Dette vil gjøre det mulig for alle brukere i kundeorganisasjonene dine å bruke den hybride datasikkerhetsklyngen til sikkerhetsfunksjoner.

    Installasjons-, aktiverings- og administrasjonsfasene er beskrevet i detalj i de neste tre kapitlene.

  • Oppretthold distribusjonen av hybrid datasikkerhet – Webex-skyen gir automatisk pågående oppgraderinger. IT-avdelingen din kan gi støtte på nivå én for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke varsler på skjermen og konfigurere e-postbaserte varsler i Partner Hub.

  • Forstå vanlige varsler, feilsøkingstrinn og kjente problemer– Hvis du har problemer med å distribuere eller bruke hybriddatasikkerhet, kan det siste kapitlet i denne veiledningen og vedlegget Kjente problemer hjelpe deg med å finne og løse problemet.

Distribusjonsmodell for hybrid datasikkerhet

I bedriftens datasenter distribuerer du hybrid datasikkerhet som én klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen via sikre websockets og sikre HTTP.

Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere det virtuelle apparatet på VM-ene du leverer. Du bruker HDS-installasjonsverktøyet til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Den hybride datasikkerhetsklyngen bruker den oppgitte Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)

Distribusjonsmodell for hybrid datasikkerhet

Minimum antall noder du kan ha i en klynge, er to. Vi anbefaler minst tre per klynge. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)

Alle noder i en klynge får tilgang til samme nøkkeldatalager og loggaktivitet til samme syslog-server. Nodene selv er statsløse, og håndterer nøkkelforespørsler på rund-robin-modus, som styres av skyen.

Noder blir aktive når du registrerer dem i Partner Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.

Standby Data Center for katastrofegjenoppretting

Under distribusjonen setter du opp et sikkert standbydatasenter. I tilfelle en datasenterkatastrofe, kan du manuelt mislykkes distribusjonen til standbydatasenteret.

Før failover har datasenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-databasen, mens B har en kopi av ISO-filen med ekstra konfigurasjoner, virtuelle maskiner som er registrert i organisasjonen, og en standbydatabase. Etter failover har datasenter B aktive HDS-noder og den primære databasen, mens A har uregistrerte VM-er og en kopi av ISO-filen, og databasen er i standbymodus.
Manuell failover til standby-datasenter

Databasene til de aktive datasentrene og standbydatasentrene er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover.

De aktive nodene for hybriddatasikkerhet må alltid være i samme datasenter som den aktive databaseserveren.

Proxy-støtte

Hybrid Data Security støtter eksplisitte, gjennomsiktige inspeksjons- og ikke-inspeksjons-proxyer. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et plattformadministratorgrensesnitt på nodene for sertifikatadministrasjon og for å kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.

Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:

  • Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Trust Store & Proxy-konfigurasjonen til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.

  • Gjennomsiktig ikke-inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse og bør ikke kreve endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.

  • Gjennomsiktig tunnelering eller inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjonen er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de stoler på proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).

  • Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og godkjenningsskjema som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon på hver node:

    1. Proxy-IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

    3. Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:

      • HTTP – viser og kontrollerer alle forespørsler som klienten sender.

      • HTTPS – Gir en kanal til serveren. Klienten mottar og validerer serverens sertifikat.

    4. Godkjenningstype– velg blant følgende godkjenningstyper:

      • Ingen – Ingen ytterligere godkjenning er nødvendig.

        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

      • Grunnleggende – Brukes for en HTTP-brukeragent til å oppgi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

        Krever at du skriver inn brukernavn og passord for hver node.

      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

        Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.

        Krever at du skriver inn brukernavn og passord for hver node.

Eksempel på noder og proxy for hybriddatasikkerhet

Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og eksplisitt HTTPS-inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.

Blokkert ekstern DNS-oppløsningsmodus (eksplisitte proxy-konfigurasjoner)

Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsning-modus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.

Forbered miljøet ditt

Krav til hybriddatasikkerhet for flere leietakere

Krav til Cisco Webex-lisens

Slik distribuerer du hybriddatasikkerhet for flere leietakere:

  • Partnerorganisasjoner: Kontakt din Cisco-partner eller kontoadministrator og sørg for at funksjonen for flere leietakere er aktivert.

  • Leietakerorganisasjoner: Du må ha Pro Pack for Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker-skrivebord

Før du installerer HDS-nodene, trenger du Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig sin lisensieringsmodell. Organisasjonen din kan kreve et betalt abonnement på Docker Desktop. Hvis du vil ha mer informasjon, kan du se innlegget til Docker-bloggen, «Docker oppdaterer og utvider våre produktabonnementer».

X.509-sertifikatkrav

Sertifikatkjeden må oppfylle følgende krav:

Tabell 1. X.509-sertifikatkrav for distribusjon av hybriddatasikkerhet

Krav

Detaljer

  • Signert av en klarert sertifiseringsinstans (CA)

Som standard stoler vi på sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har et Common Name (CN) domenenavn som identifiserer din distribusjon av hybriddatasikkerhet

  • Er ikke et jokertegn

CN trenger ikke å være tilgjengelig eller en direkte vert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel hds.company.com.

CN kan ikke inneholde et * (jokertegn).

CN brukes til å bekrefte nodene for hybriddatasikkerhet til Webex-appklienter. Alle nodene for hybriddatasikkerhet i klyngen bruker det samme sertifikatet. KMS identifiserer seg selv ved hjelp av CN-domenet, ikke et domene som er definert i x.509v3 SAN-feltene.

Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN-domenenavnet.

  • Ikke-SHA1-signatur

KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjons KMS-er.

  • Formatert som en passordbeskyttet PKCS #12-fil

  • Bruk det vennlige navnet på kms-private-key for å tagge sertifikatet, privat nøkkel og eventuelle mellomliggende sertifikater som skal lastes opp.

Du kan bruke en konverter som OpenSSL til å endre sertifikatets format.

Du må angi passordet når du kjører HDS-installasjonsverktøyet.

KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifikatmyndigheter krever at utvidede nøkkelbruksbegrensninger brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.

Krav til virtuell vert

De virtuelle vertene som du vil konfigurere som Hybrid Data Security-noder i klyngen har følgende krav:

  • Minst to separate verter (3 anbefales) plassert i samme sikre datasenter

  • VMware ESXi 7.0 (eller nyere) installert og kjører.

    Du må oppgradere hvis du har en tidligere versjon av ESXi.

  • Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokalt harddiskplass per server

Krav til databaseserver

Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene oppretter databaseskjemaet når de er installert.

Det finnes to alternativer for databaseserver. Kravene til hver av dem er som følger:

Tabell 2. Databaseserverkrav etter type database

PostgreSql

Microsoft SQL Server

  • PostgreSQL 14, 15 eller 16, installert og kjører.

  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installert.

    SQL Server 2016 krever Service Pack 2 og kumulativ oppdatering 2 eller nyere.

Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at det ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at det ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserveren:

PostgreSql

Microsoft SQL Server

Postgres JDBC driver 42.2.5

SQL Server JDBC driver 4.6

Denne driverversjonen støtter SQL Server Always On (Always On Failover Cluster Instances og Always On Availability Groups).

Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server

Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til Keystore-databasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:

  • HDS-nodene, Active Directory-infrastrukturen og MS SQL Server må alle synkroniseres med NTP.

  • Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.

  • DNS-serverne du leverer til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).

  • Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et tjenestehovednavn (SPN) i Active Directory. Se Registrer tjenestens hovednavn for Kerberos-tilkoblinger.

    HDS-installasjonsverktøyet, HDS-oppstartsprogrammet og lokal KMS må bruke Windows-godkjenning for å få tilgang til nøkkelbutikkdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN-en når de ber om tilgang med Kerberos-godkjenning.

Krav til ekstern tilkobling

Konfigurer brannmuren slik at den tillater følgende tilkobling for HDS-programmene:

Applikasjon

Protokoll

Port

Retning fra appen

Destinasjon

Noder for hybriddatasikkerhet

tcp

443

Utgående HTTPS og WSS

  • Webex-servere:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-verter

  • Andre URL-adresser som er oppført for hybriddatasikkerhet i tabellen Ytterligere URL-adresser for Webex-hybridtjenester med Nettverkskrav for Webex-tjenester

HDS-oppsettsverktøy

tcp

443

Utgående HTTPS

  • *.wbx2.com

  • Alle Common Identity-verter

  • hub.docker.com

Nodene for hybriddatasikkerhet fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmuren tillater de nødvendige utgående tilkoblingene til domenet-målene i tabellen ovenfor. Ingen porter skal være synlige fra Internett for tilkoblinger som går inn til nodene for hybriddatasikkerhet. I datasenteret trenger klienter tilgang til nodene for hybriddatasikkerhet på TCP-portene 443 og 22 av administrative grunner.

URL-adressene for Common Identity (CI)-vertene er områdespesifikke. Dette er de gjeldende CI-vertene:

Region

URL-adresser for Common Identity Host

Nord-Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Den europeiske union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

De forente arabiske emirater

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Krav til proxy-server

  • Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene for hybriddatasikkerhet.

    • Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).

    • Eksplisitt proxy – Squid.

      Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre opprettelsen av websocket-tilkoblinger (wss:). Hvis du vil omgå dette problemet, kan du se Konfigurere Squid-proxyer for hybriddatasikkerhet.

  • Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:

    • Ingen godkjenning med HTTP eller HTTPS

    • Grunnleggende godkjenning med HTTP eller HTTPS

    • Digest-godkjenning kun med HTTPS

  • For en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne veiledningen forteller deg hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnodene.

  • Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.

  • Proxyer som inspiserer webtrafikk kan forstyrre Web Socket-tilkoblinger. Hvis dette problemet oppstår, vil det å omgå (ikke inspisere) trafikk til wbx2.com , og ciscospark.com vil løse problemet.

Fullfør forutsetningene for hybrid datasikkerhet

Bruk denne sjekklisten til å sikre at du er klar til å installere og konfigurere den hybride datasikkerhetsklyngen.
1

Sørg for at partnerorganisasjonen din har HDS-funksjonen for flere leietakere aktivert og få legitimasjonen til en konto med fullstendig partneradministrator og fullstendige administratorrettigheter. Påse at Webex-kundeorganisasjonen er aktivert for Pro Pack for Cisco Webex Control Hub. Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen.

Kundeorganisasjoner skal ikke ha noen eksisterende HDS-distribusjon.

2

Velg et domenenavn for HDS-distribusjonen (for eksempel hds.company.com) og hent en sertifikatkjede som inneholder et X.509-sertifikat, privat nøkkel og eventuelle mellomliggende sertifikater. Sertifikatkjeden må oppfylle kravene i X.509 Sertifikatkrav.

3

Klargjør identiske virtuelle verter som du vil konfigurere som Hybrid Data Security-noder i klyngen. Du trenger minst to separate verter (3 anbefales) plassert i samme sikre datasenter, som oppfyller kravene i Krav til virtuelle verter.

4

Klargjør databaseserveren som skal fungere som nøkkeldatalager for klyngen, i henhold til Databaseserverkrav. Databaseserveren må være plassert i det sikre datasenteret med de virtuelle vertene.

  1. Opprett en database for nøkkellagring. (Du må opprette denne databasen – ikke bruk standarddatabasen. HDS-programmene oppretter databaseskjemaet når de er installert.)

  2. Samle inn detaljene som nodene skal bruke til å kommunisere med databaseserveren:

    • vertsnavnet eller IP-adressen (vert) og port

    • navnet på databasen (dbname) for nøkkellagring

    • brukernavnet og passordet til en bruker med alle rettigheter i databasen for nøkkellagring

5

For rask katastrofegjenoppretting konfigurerer du et sikkerhetskopieringsmiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet til VM-er og en sikkerhetskopidatabaseserver. Hvis for eksempel produksjonen har 3 VM-er som kjører HDS-noder, skal sikkerhetskopieringsmiljøet ha 3 VM-er.

6

Sett opp en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadressen og syslog-porten (standard er UDP 514).

7

Opprett en sikker sikkerhetskopieringspolicy for nodene for hybriddatasikkerhet, databaseserveren og syslog-verten. For å forhindre ugjenopprettelig tap av data må du som minimum sikkerhetskopiere databasen og konfigurasjonsfilen som genereres for nodene for hybriddatasikkerhet.

Fordi nodene for hybriddatasikkerhet lagrer nøklene som brukes til kryptering og dekryptering av innhold, vil manglende vedlikehold av en operativ distribusjon føre til UGJENOPPRETTELIG TAP av dette innholdet.

Webex-appklienter bufrer nøklene sine, så det kan hende at et driftsbrudd ikke er umiddelbart merkbart, men vil bli tydelig over tid. Selv om midlertidige avbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopieringer tilgjengelig) av enten databasen eller konfigurasjons-ISO-filen vil imidlertid føre til ugjenopprettbare kundedata. Operatørene av nodene for hybriddatasikkerhet forventes å opprettholde hyppige sikkerhetskopieringer av databasen og konfigurasjonsfilen, og være forberedt på å gjenoppbygge datasenteret for hybriddatasikkerhet hvis det oppstår en katastrofal feil.

8

Kontroller at brannmurkonfigurasjonen tillater tilkobling for hybriddatasikkerhetsnodene som beskrevet i Krav til ekstern tilkobling.

9

Installer Docker ( https://www.docker.com) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til det på http://127.0.0.1:8080.

Du bruker Docker-forekomsten til å laste ned og kjøre HDS-installasjonsverktøyet, som bygger den lokale konfigurasjonsinformasjonen for alle nodene for hybriddatasikkerhet. Du trenger kanskje en Docker Desktop-lisens. Se Krav til Docker Desktop for mer informasjon.

For å installere og kjøre HDS-installasjonsverktøyet må den lokale maskinen ha tilkoblingen beskrevet i Krav til ekstern tilkobling.

10

Hvis du integrerer en proxy med hybriddatasikkerhet, må du sørge for at den oppfyller kravene til proxy-serveren.

Konfigurere en klynge for hybriddatasikkerhet

Oppgaveflyt for distribusjon av hybrid datasikkerhet

Før du begynner

1

Utfør første konfigurasjon og last ned installasjonsfiler

Last ned OVA-filen til din lokale maskin for senere bruk.

2

Opprette en konfigurasjons-ISO for HDS-verter

Bruk HDS-installasjonsverktøyet til å opprette en ISO-konfigurasjonsfil for nodene for hybriddatasikkerhet.

3

Installere HDS Host OVA

Opprett en virtuell maskin fra OVA-filen og utfør første konfigurasjon, for eksempel nettverksinnstillinger.

Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 7.0. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

4

Konfigurere VM for hybriddatasikkerhet

Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA ble distribuert.

5

Laste opp og montere konfigurasjons-ISO for HDS

Konfigurer VM fra ISO-konfigurasjonsfilen du opprettet med HDS-installasjonsverktøyet.

6

Konfigurere HDS-noden for proxy-integrering

Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du hvilken type proxy du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig.

7

Registrer den første noden i klyngen

Registrer VM med Cisco Webex-skyen som en hybrid datasikkerhetsnode.

8

Opprett og registrer flere noder

Fullfør klyngeoppsettet.

9

Aktiver HDS for flere leietakere på Partner Hub.

Aktiver HDS og administrer leierorganisasjoner på Partner Hub.

Utfør første konfigurasjon og last ned installasjonsfiler

I denne oppgaven laster du ned en OVA-fil til maskinen din (ikke til serverne du konfigurerer som Hybrid Data Security-noder). Du bruker denne filen senere i installasjonsprosessen.

1

Logg på Partner Hub, og klikk deretter på Tjenester.

2

Finn kortet for hybriddatasikkerhet under Skytjenester, og klikk deretter på Konfigurer.

Å klikke på Konfigurer i Partner Hub er avgjørende for distribusjonsprosessen. Ikke fortsett med installasjonen uten å fullføre dette trinnet.

3

Klikk på Legg til en ressurs , og klikk på Last ned .OVA-fil på kortet Installer og konfigurer programvare .

Eldre versjoner av programvarepakken (OVA) vil ikke være kompatible med de nyeste oppgraderingene for hybriddatasikkerhet. Dette kan føre til problemer under oppgradering av programmet. Sørg for at du laster ned den nyeste versjonen av OVA-filen.

Du kan også laste ned OVA når som helst fra Hjelp -delen. Klikk på Innstillinger > Hjelp > Last ned programvare for hybriddatasikkerhet.

OVA-filen begynner automatisk å lastes ned. Lagre filen på en plassering på maskinen.
4

Du kan eventuelt klikke på Se distribusjonsveiledning for hybriddatasikkerhet for å sjekke om det finnes en senere versjon av denne veiledningen.

Opprette en konfigurasjons-ISO for HDS-verter

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

Før du begynner
1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

På siden ISO-import har du disse alternativene:

  • Nei– Hvis du oppretter din første HDS-node, har du ikke en ISO-fil å laste opp.
  • Ja – Hvis du allerede har opprettet HDS-noder, velger du ISO-filen din i nettleseren og laster den opp.
10

Kontroller at X.509-sertifikatet oppfyller kravene i X.509-sertifikatkrav.

  • Hvis du aldri har lastet opp et sertifikat før, laster du opp X.509-sertifikatet, skriver inn passordet og klikker på Fortsett.
  • Hvis sertifikatet er OK, klikker du på Fortsett.
  • Hvis sertifikatet har utløpt eller du vil erstatte det, velger du Nei for Fortsett å bruke HDS-sertifikatkjede og privat nøkkel fra forrige ISO?. Last opp et nytt X.509-sertifikat, skriv inn passordet, og klikk på Fortsett.
11

Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret:

  1. Velg Databasetype (PostgreSQL eller Microsoft SQL Server).

    Hvis du velger Microsoft SQL Server, får du et felt for godkjenningstype.

  2. (Kun Microsoft SQL Server ) Velg godkjenningstype:

    • Grunnleggende godkjenning: Du trenger et lokalt SQL Server-kontonavn i Brukernavn -feltet.

    • Windows-godkjenning: Du trenger en Windows-konto i formatet username@DOMAIN i Brukernavn -feltet.

  3. Skriv inn databaseserveradressen i skjemaet : eller :.

    Eksempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan bruke en IP-adresse for grunnleggende godkjenning, hvis nodene ikke kan bruke DNS til å løse vertsnavnet.

    Hvis du bruker Windows-godkjenning, må du angi et fullt kvalifisert domenenavn i formatet dbhost.example.org:1433

  4. Skriv inn Databasenavn.

  5. Skriv inn Brukernavn og Passord til en bruker med alle rettigheter i databasen for nøkkellagring.

12

Velg en TLS-databasetilkoblingsmodus:

Modus

Beskrivelse

Foretrekker TLS (standardalternativ)

HDS-noder krever ikke TLS for å koble til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøker nodene en kryptert tilkobling.

Krev TLS

HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

Krev TLS og bekreft sertifikatsignerer

Denne modusen gjelder ikke for SQL Server-databaser.

  • HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

  • Etter å ha opprettet en TLS-tilkobling, sammenligner noden signeringen av sertifikatet fra databaseserveren med sertifikatmyndigheten i Databaserotsertifikat. Hvis de ikke samsvarer, mister noden tilkoblingen.

Bruk kontrollen Databaserotsertifikat under rullegardinlisten for å laste opp rotsertifikatet for dette alternativet.

Krev TLS og bekreft sertifikatsignerer og vertsnavn

  • HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

  • Etter å ha opprettet en TLS-tilkobling, sammenligner noden signeringen av sertifikatet fra databaseserveren med sertifikatmyndigheten i Databaserotsertifikat. Hvis de ikke samsvarer, mister noden tilkoblingen.

  • Nodene bekrefter også at vertsnavnet i serversertifikatet samsvarer med vertsnavnet i feltet Databasevert og port . Navnene må samsvare nøyaktig, ellers mister noden tilkoblingen.

Bruk kontrollen Databaserotsertifikat under rullegardinlisten for å laste opp rotsertifikatet for dette alternativet.

Når du laster opp rotsertifikatet (om nødvendig) og klikker på Fortsett, tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserveren. Verktøyet bekrefter også sertifikatsigneringen og vertsnavnet, hvis aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan HDS-nodene være i stand til å etablere TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.)

13

På siden Systemlogger konfigurerer du Syslogd-serveren:

  1. Skriv inn URL-adressen til syslog-serveren.

    Hvis serveren ikke kan løses DNS fra nodene for HDS-klyngen, bruker du en IP-adresse i URL-adressen.

    Eksempel:
    udp://10.92.43.23:514 angir logging til Syslogd-verten 10.92.43.23 på UDP-port 514.

  2. Hvis du konfigurerer serveren til å bruke TLS-kryptering, merker du av for Er syslog-serveren konfigurert for SSL-kryptering?.

    Hvis du merker av i denne avmerkingsboksen, må du angi en TCP-URL, for eksempel tcp://10.92.43.23:514.

  3. Fra rullegardinlisten Velg avslutning av syslog-post velger du riktig innstilling for ISO-filen: Velg eller Newline brukes for Graylog og Rsyslog TCP

    • Null byte -- \x00

    • Newline -- \n– Velg dette alternativet for Graylog og Rsyslog TCP.

  4. Klikk på Fortsett.

14

(Valgfritt) Du kan endre standardverdien for noen parametere for databasetilkobling i Avanserte innstillinger. Generelt er denne parameteren den eneste du kanskje vil endre:

app_datasource_connection_pool_maxStørrelse: 10
15

Klikk på Fortsett på skjermen Tilbakestill passord for tjenestekontoer .

Passord for tjenestekontoen har en levetid på ni måneder. Bruk dette skjermbildet når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem til å ugyldiggjøre tidligere ISO-filer.

16

Klikk på Last ned ISO-fil. Lagre filen på et sted som er lett å finne.

17

Ta en sikkerhetskopi av ISO-filen på ditt lokale system.

Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer.

18

Hvis du vil slå av installasjonsverktøyet, skriver du inn CTRL+C.

Hva du skal gjøre nå

Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.

Vi har aldri en kopi av denne nøkkelen og kan ikke hjelpe hvis du mister den.

Installere HDS Host OVA

Bruk denne fremgangsmåten for å opprette en virtuell maskin fra OVA-filen.
1

Bruk VMware vSphere-klienten på datamaskinen for å logge på den virtuelle ESXi-verten.

2

Velg Fil > Distribuer OVF-mal.

3

I veiviseren angir du plasseringen til OVA-filen du lastet ned tidligere, og klikker deretter på Neste.

4

På siden Velg et navn og mappe skriver du inn et Virtuelt maskinnavn for noden (for eksempel «HDS_Node_1»), velger et sted der den virtuelle maskinnodedistribusjonen kan ligge, og klikker deretter på Neste.

5

På siden Velg en beregningsressurs velger du destinasjonsberegningsressursen, og klikker deretter på Neste.

En valideringskontroll kjører. Når den er ferdig, vises maldetaljene.

6

Bekreft maldetaljene, og klikk deretter på Neste.

7

Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon -siden, klikker du på 4 CPU og klikker deretter på Neste.

8

På siden Velg lagring klikker du på Neste for å godta standard diskformat og retningslinjer for lagring av VM.

9

På siden Velg nettverk velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til VM-en.

10

Konfigurer følgende nettverksinnstillinger på siden Tilpass mal :

  • Vertsnavn– angi FQDN (vertsnavn og domene) eller et enkelt ord vertsnavn for noden.

    • Du trenger ikke å angi domenet til å samsvare med domenet du brukte til å skaffe X.509-sertifikatet.

    • For å sikre vellykket registrering til skyen må du bare bruke små bokstaver i FQDN eller vertsnavnet du angir for noden. Kapitalisering støttes ikke på dette tidspunktet.

    • Den totale lengden på FQDN må ikke overstige 64 tegn.

  • IP-adresse– angi IP-adressen for nodens interne grensesnitt.

    Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke.

  • Maske– Angi nettverksmaskens adresse i punkt-desimalnotasjon. For eksempel 255.255.255.0.
  • Gateway– angi gatewayens IP-adresse. En gateway er en nettverksnode som fungerer som et tilgangspunkt til et annet nettverk.
  • DNS-servere – Skriv inn en kommaseparert liste over DNS-servere som håndterer å oversette domenenavn til numeriske IP-adresser. (Opptil 4 DNS-oppføringer er tillatt.)
  • NTP-servere– Angi organisasjonens NTP-server eller en annen ekstern NTP-server som kan brukes i organisasjonen. Standard NTP-servere fungerer kanskje ikke for alle bedrifter. Du kan også bruke en kommadelt liste til å angi flere NTP-servere.

  • Distribuer alle nodene på samme subnett eller VLAN, slik at alle nodene i en klynge kan nås fra klienter i nettverket ditt for administrative formål.

Hvis du vil, kan du hoppe over konfigurasjonen av nettverksinnstillingene og følge trinnene i Konfigurere VM for hybriddatasikkerhet for å konfigurere innstillingene fra nodekonsollen.

Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 7.0. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

11

Høyreklikk på noden VM, og velg deretter Power > Power On.

Programvaren for hybrid datasikkerhet installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden.

Feilsøkingstips

Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen under første oppstart, hvor du ikke kan logge på.

Konfigurere VM for hybriddatasikkerhet

Bruk denne fremgangsmåten til å logge på VM-konsollen for hybriddatasikkerhetsnoden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA ble distribuert.

1

I VMware vSphere-klienten velger du den hybride datasikkerhetsnoden VM og velger fanen Konsoll .

VM starter opp og en melding om pålogging vises. Hvis meldingen om pålogging ikke vises, trykker du på Enter.
2

Bruk følgende standard pålogging og passord for å logge på og endre legitimasjonen:

  1. Pålogging: administrator

  2. Passord: cisco

Siden du logger på VM for første gang, må du endre administratorpassordet.

3

Hvis du allerede har konfigurert nettverksinnstillingene i Installer HDS Host OVA, hopper du over resten av denne prosedyren. Hvis ikke, velger du alternativet Rediger konfigurasjon i hovedmenyen.

4

Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke.

5

(Valgfritt) Endre vertsnavnet, domenet eller NTP-serveren(e) om nødvendig for å samsvare med nettverkspolicyen.

Du trenger ikke å angi domenet til å samsvare med domenet du brukte til å skaffe X.509-sertifikatet.

6

Lagre nettverkskonfigurasjonen og start VM på nytt slik at endringene trer i kraft.

Laste opp og montere konfigurasjons-ISO for HDS

Bruk denne fremgangsmåten til å konfigurere den virtuelle maskinen fra ISO-filen du opprettet med HDS-installasjonsverktøyet.

Før du begynner

Fordi ISO-filen innehar hovednøkkelen, bør den bare eksponeres på "trenger å vite"-basis, for tilgang for virtuelle maskiner for hybriddatasikkerhet og eventuelle administratorer som må gjøre endringer. Sørg for at bare disse administratorene har tilgang til datalageret.

1

Last opp ISO-filen fra datamaskinen:

  1. Klikk på ESXi-serveren i venstre navigasjonsrute til VMware vSphere-klienten.

  2. Klikk på Lagring i Maskinvare-listen i kategorien Konfigurasjon.

  3. Høyreklikk på datalageret for VM-ene i listen Datalagerer, og klikk på Bla gjennom datalageret.

  4. Klikk på ikonet Last opp filer, og klikk deretter på Last opp fil.

  5. Bla til plasseringen der du lastet ned ISO-filen på datamaskinen, og klikk på Åpne.

  6. Klikk på Ja for å godta advarselen om opplasting/nedlasting og lukke dialogboksen for datalager.

2

Montere ISO-fil:

  1. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

  2. Klikk på OK for å godta advarselen om begrensede redigeringsalternativer.

  3. Klikk på CD/DVD-stasjon 1, velg alternativet for montering fra en ISO-fil i datalageret, og bla til plasseringen der du lastet opp ISO-konfigurasjonsfilen.

  4. Kontroller Tilkoblet og Koble til ved strøm på.

  5. Lagre endringene og start den virtuelle maskinen på nytt.

Hva du skal gjøre nå

Hvis IT-policyen krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene har plukket opp konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.

Konfigurere HDS-noden for proxy-integrering

Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybrid datasikkerhet. Hvis du velger en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet, og feilsøke eventuelle problemer.

Før du begynner

1

Skriv inn URL-adressen for HDS-nodeoppsett https://[HDS Node IP or FQDN]/setup i en nettleser, skriv inn administratorlegitimasjonen du har konfigurert for noden, og klikk deretter på Logg på.

2

Gå til Klareringslager og proxy, og velg deretter et alternativ:

  • Ingen proxy – Standardalternativet før du integrerer en proxy. Ingen sertifikatoppdatering er nødvendig.
  • Gjennomsiktig ikke-inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse og bør ikke kreve endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
  • Gjennomsiktig inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTPS-konfigurasjonen er nødvendig på distribusjonen av hybriddatasikkerhet, men HDS-nodene trenger et rotsertifikat for å klarere proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
  • Eksplisitt proxy – Med eksplisitt proxy forteller du klienten (HDS-noder) hvilken proxy-server som skal brukes, og dette alternativet støtter flere godkjenningstyper. Når du har valgt dette alternativet, må du angi følgende informasjon:

    1. Proxy-IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

    3. Proxy Protocol – Velg http (viser og kontrollerer alle forespørsler som mottas fra klienten) eller https (gir en kanal til serveren, og klienten mottar og validerer serverens sertifikat). Velg et alternativ basert på hva proxy-serveren støtter.

    4. Godkjenningstype– velg blant følgende godkjenningstyper:

      • Ingen – Ingen ytterligere godkjenning er nødvendig.

        Tilgjengelig for HTTP- eller HTTPS-proxyer.

      • Grunnleggende – Brukes for en HTTP-brukeragent til å oppgi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

        Tilgjengelig for HTTP- eller HTTPS-proxyer.

        Hvis du velger dette alternativet, må du også angi brukernavn og passord.

      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

        Kun tilgjengelig for HTTPS-proxyer.

        Hvis du velger dette alternativet, må du også angi brukernavn og passord.

Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en eksplisitt HTTP-proxy med grunnleggende godkjenning eller en eksplisitt HTTPS-proxy.

3

Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen.

Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på chevron-pilen ved navnet på sertifikatutstederen for å få mer informasjon, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt.

4

Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen.

Hvis tilkoblingstesten mislykkes, får du en feilmelding som viser årsaken og hvordan du kan løse problemet.

Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne tilstanden forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene og ser Slå av blokkert ekstern DNS-oppløsningsmodus.

5

Etter at tilkoblingstesten er bestått, bare for eksplisitt proxy satt til https, slår du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen tar 15 sekunder før den trer i kraft.

6

Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en eksplisitt HTTP-proxy), les ledeteksten og klikk deretter på Installer hvis du er klar.

Noden starter på nytt innen noen få minutter.

7

Etter at noden har startet på nytt, logger du på igjen om nødvendig og åpner deretter Oversikt -siden for å sjekke tilkoblingskontrollene for å sikre at alle er i grønn status.

Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det er tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen.

Registrer den første noden i klyngen

Denne oppgaven tar den generiske noden du opprettet i Konfigurer VM for hybrid datasikkerhet, registrerer noden i Webex-skyen og gjør den om til en hybrid datasikkerhetsnode.

Når du registrerer din første node, oppretter du en klynge som noden er tilordnet til. En klynge inneholder én eller flere noder som er distribuert for å gi redundans.

Før du begynner

  • Når du begynner å registrere en node, må du fullføre den innen 60 minutter, eller du må starte på nytt.

  • Sørg for at eventuelle popup-blokkere i nettleseren er deaktivert, eller at du tillater et unntak for admin.webex.com.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du kortet for hybriddatasikkerhet og klikker på Konfigurer.

4

Klikk på Legg til en ressurs på siden som åpnes.

5

I det første feltet i Legg til en node -kortet skriver du inn et navn på klyngen du vil tilordne hybriddatasikkerhetsnoden til.

Vi anbefaler at du navngir en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

6

I det andre feltet skriver du inn den interne IP-adressen eller det fullstendige domenenavnet (FQDN) til noden og klikker på Legg til nederst på skjermen.

Denne IP-adressen eller FQDN skal samsvare med IP-adressen eller vertsnavnet og domenet du brukte i Konfigurere VM for hybriddatasikkerhet.

Det vises en melding som angir at du kan registrere noden din til Webex.
7

Klikk på Gå til node.

Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelse til Webex-organisasjonen din for å få tilgang til noden din.

8

Merk av i avkrysningsboksen Gi tilgang til din hybride datasikkerhetsnode , og klikk deretter på Fortsett.

Kontoen din er validert, og meldingen «Registreringen er fullført» indikerer at noden din nå er registrert i Webex-skyen.
9

Klikk på koblingen eller lukk fanen for å gå tilbake til Partner Hub Hybrid Data Security-siden.

På siden Hybriddatasikkerhet vises den nye klyngen som inneholder noden du registrerte, under Ressurser -fanen. Noden vil automatisk laste ned den nyeste programvaren fra skyen.

Opprett og registrer flere noder

Hvis du vil legge til flere noder i klyngen, oppretter du ganske enkelt flere VM-er og monterer den samme ISO-konfigurasjonsfilen og registrerer noden. Vi anbefaler at du har minst 3 noder.

Før du begynner

  • Når du begynner å registrere en node, må du fullføre den innen 60 minutter, eller du må starte på nytt.

  • Sørg for at eventuelle popup-blokkere i nettleseren er deaktivert, eller at du tillater et unntak for admin.webex.com.

1

Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA.

2

Konfigurer den første konfigurasjonen på den nye VM-en, og gjenta trinnene i Konfigurer VM for hybriddatasikkerhet.

3

På den nye VM gjentar du trinnene i Last opp og monter HDS-konfigurasjons-ISO.

4

Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrasjon etter behov for den nye noden.

5

Registrer noden.

  1. I https://admin.webex.com velger du Tjenester fra menyen til venstre på skjermen.

  2. Finn kortet for hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

    Siden Ressurser for hybriddatasikkerhet vises.

  3. Den nylig opprettede klyngen vises på Ressurser -siden.

  4. Klikk på klyngen for å vise nodene som er tilordnet klyngen.

  5. Klikk på Legg til en node til høyre på skjermen.

  6. Skriv inn den interne IP-adressen eller fullt kvalifisert domenenavn (FQDN) til noden, og klikk på Legg til.

    En side åpnes med en melding om at du kan registrere noden din i Webex-skyen. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi organisasjonen tillatelse til å få tilgang til noden din.

  7. Merk av i avkrysningsboksen Gi tilgang til din hybride datasikkerhetsnode , og klikk deretter på Fortsett.

    Kontoen din er validert, og meldingen «Registreringen er fullført» indikerer at noden din nå er registrert i Webex-skyen.

  8. Klikk på koblingen eller lukk fanen for å gå tilbake til Partner Hub Hybrid Data Security-siden.

    Node lagt til popup-melding vises også nederst på skjermen i Partner Hub.

    Noden din er registrert.

Administrere leietakerorganisasjoner for hybriddatasikkerhet for flere leietakere

Aktivere HDS for flere leietakere på Partner Hub

Denne oppgaven sikrer at alle brukere av kundeorganisasjonene kan begynne å bruke HDS for lokale krypteringsnøkler og andre sikkerhetstjenester.

Før du begynner

Sørg for at du har fullført konfigureringen av HDS-klyngen for flere leietakere med det nødvendige antallet noder.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Rediger innstillinger.

4

Klikk på Aktiver HDS på kortet HDS-status .

Legg til leietakerorganisasjoner i Partner Hub

I denne oppgaven tilordner du kundeorganisasjoner til din hybride datasikkerhetsklynge.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

Finn hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

4

Klikk på klyngen du vil at en kunde skal tilordnes til.

5

Gå til fanen Tilordnede kunder .

6

Klikk på Legg til kunder.

7

Velg kunden du vil legge til, fra rullegardinmenyen.

8

Klikk på Legg til, kunden blir lagt til i klyngen.

9

Gjenta trinn 6 til 8 for å legge til flere kunder i klyngen.

10

Klikk på Ferdig nederst på skjermen når du har lagt til kundene.

Hva du skal gjøre nå

Kjør HDS-installasjonsverktøyet som beskrevet i Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-installasjonsverktøyet for å fullføre installasjonsprosessen.

Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-installasjonsverktøyet

Før du begynner

Tilordne kunder til riktig klynge som beskrevet i Legg til leietakerorganisasjoner i Partner Hub. Kjør HDS-installasjonsverktøyet for å fullføre installasjonsprosessen for de nylig tillagte kundeorganisasjonene.

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, for eksempel disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i godkjenningspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du distribusjonen av PostgreSQL eller SQL Server for TLS.

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

Klikk på Ja på siden ISO-import.

10

Velg ISO-filen i nettleseren og last den opp.

Sørg for tilkobling til databasen din for å utføre CMK-administrasjon.
11

Gå til fanen Leietakers CMK-administrasjon , der du finner følgende tre måter å administrere leietakers CMK-er på.

  • Opprett CMK for alle organisasjoner eller Opprett CMK – Klikk på denne knappen på banneret øverst på skjermen for å opprette CMK for alle organisasjoner som nylig er lagt til.
  • Klikk på knappen Administrer CMK-er til høyre på skjermen, og klikk på Opprett CMK-er for å opprette CMK-er for alle nylig tillagte organisasjoner.
  • Klikk på … nær CMK-administrasjonen som venter på status for en bestemt organisasjon i tabellen, og klikk på Opprett CMK for å opprette CMK for den organisasjonen.
12

Når CMK opprettes, endres statusen i tabellen fra CMK-administrasjon venter til CMK-administrert.

13

Hvis opprettelsen av CMK mislykkes, vises en feilmelding.

Fjern leietakerorganisasjoner

Før du begynner

Når de er fjernet, vil ikke brukere av kundeorganisasjoner kunne utnytte HDS for sine krypteringsbehov og vil miste alle eksisterende områder. Før du fjerner kundeorganisasjoner, må du kontakte din Cisco-partner eller kontoadministrator.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

Finn hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

4

I fanen Ressurser klikker du på klyngen du vil fjerne kundeorganisasjoner fra.

5

Klikk på Tilordnede kunder på siden som åpnes.

6

Fra listen over kundeorganisasjoner som vises, klikker du på til høyre for kundeorganisasjonen du vil fjerne, og klikker på Fjern fra klynge.

Hva du skal gjøre nå

Fullfør fjerningsprosessen ved å tilbakekalle kundeorganisasjonens CMK-er, som beskrevet i Tilbakekall CMK-er for leiere som er fjernet fra HDS.

Tilbakekall CMK-er for leiere som er fjernet fra HDS.

Før du begynner

Fjern kunder fra den aktuelle klyngen som beskrevet i Fjern leietakerorganisasjoner. Kjør HDS-installasjonsverktøyet for å fullføre fjerningsprosessen for kundeorganisasjonene som ble fjernet.

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, for eksempel disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i godkjenningspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du distribusjonen av PostgreSQL eller SQL Server for TLS.

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

Klikk på Ja på siden ISO-import.

10

Velg ISO-filen i nettleseren og last den opp.

11

Gå til fanen Leietakers CMK-administrasjon , der du finner følgende tre måter å administrere leietakers CMK-er på.

  • Tilbakekall CMK for alle organisasjoner eller Tilbakekall CMK – Klikk på denne knappen på banneret øverst på skjermen for å tilbakekalle CMK for alle organisasjoner som ble fjernet.
  • Klikk på knappen Administrer CMK-er til høyre på skjermen, og klikk på Tilbakekall CMK-er for å tilbakekalle CMK-er for alle organisasjoner som ble fjernet.
  • Klikk på i nærheten av CMK for å bli tilbakekalt status for en bestemt organisasjon i tabellen, og klikk på Tilbakekall CMK for å tilbakekalle CMK for den bestemte organisasjonen.
12

Når CMK-opphevelse er fullført, vises ikke kundeorganisasjonen lenger i tabellen.

13

Hvis CMK-tilbakekalling mislykkes, vises en feil.

Test distribusjonen av hybrid datasikkerhet

Test distribusjonen av hybrid datasikkerhet

Bruk denne fremgangsmåten til å teste scenarier for kryptering av hybriddatasikkerhet for flere leietakere.

Før du begynner

  • Konfigurer distribusjonen av hybriddatasikkerhet for flere leietakere.

  • Sørg for at du har tilgang til syslog for å bekrefte at viktige forespørsler sendes til din distribusjon av hybriddatasikkerhet for flere leietakere.

1

Nøkler for et gitt område angis av skaperen av området. Logg på Webex-appen som en av brukerne av kundeorganisasjonen, og opprett deretter et område.

Hvis du deaktiverer distribusjonen av hybriddatasikkerhet, er ikke innhold i områder som brukere oppretter, lenger tilgjengelig når de klientbufrede kopiene av krypteringsnøklene er erstattet.

2

Send meldinger til det nye området.

3

Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til distribusjonen av hybriddatasikkerhet.

  1. Hvis du vil se etter en bruker først å opprette en sikker kanal til KMS, filtrerer du på kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du bør finne en oppføring som følgende (identifikatorer forkortet for lesbarhet):
    2020-07-21 17:35:34.562 (+0000) INFORMASJON KMS [pool-14-thread-1] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Kjælebarn: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Hvis du vil se etter en bruker som ber om en eksisterende nøkkel fra KMS, filtrerer du på kms.data.method=retrieve og kms.data.type=KEY:

    Du bør finne en oppføring som:
    2020-07-21 17:44:19.889 (+0000) INFORMASJON KMS [pool-14-thread-31] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Hvis du vil se etter en bruker som ber om å opprette en ny KMS-nøkkel, filtrerer du på kms.data.method=create og kms.data.type=KEY_COLLECTION:

    Du bør finne en oppføring som:
    2020-07-21 17:44:21.975 (+0000) INFORMASJON KMS [pool-14-thread-33] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Hvis du vil se etter en bruker som ber om opprettelse av et nytt KMS-ressursobjekt (KRO) når et område eller en annen beskyttet ressurs opprettes, filtrerer du på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

    Du bør finne en oppføring som: 
    2020-07-21 17:44:22.808 (+0000) INFORMASJON KMS [pool-15-thread-1] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåk sikkerhets helse for hybriddata

En statusindikator i Partner Hub viser deg om alt er bra med distribusjonen av hybriddatasikkerhet for flere leietakere. For mer proaktive varsler, registrer deg for e-postvarsler. Du blir varslet når det er alarmer eller programvareoppgraderinger som påvirker tjenesten.
1

I Partner Hub velger du Tjenester fra menyen til venstre på skjermen.

2

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Rediger innstillinger.

Siden Innstillinger for hybriddatasikkerhet vises.
3

Skriv inn én eller flere e-postadresser atskilt med komma i delen E-postvarsler, og trykk på Enter.

Administrer HDS-distribusjonen din

Administrer HDS-distribusjon

Bruk oppgavene som er beskrevet her for å administrere distribusjonen av hybriddatasikkerhet.

Angi tidsplan for klyngeoppgradering

Programvareoppgraderinger for hybrid datasikkerhet utføres automatisk på klyngenivå, noe som sikrer at alle noder alltid kjører samme programvareversjon. Oppgraderinger utføres i henhold til oppgraderingsplanen for klyngen. Når en programvareoppgradering blir tilgjengelig, har du muligheten til å oppgradere klyngen manuelt før det planlagte oppgraderingstidspunktet. Du kan angi en bestemt oppgraderingsplan eller bruke standardplanen kl. 3:00 AM Daily USA: Amerika/Los Angeles. Du kan også velge å utsette en kommende oppgradering, om nødvendig.

Slik angir du oppgraderingsplanen:

1

Logg på Partner Hub.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Konfigurer

4

Velg klyngen på siden Hybrid Data Security Resources.

5

Klikk på fanen Klyngeinnstillinger .

6

Velg klokkeslett og tidssone for oppgraderingsplanen på siden Klyngeinnstillinger under Oppgraderingsplan.

Merk: Under tidssonen vises neste tilgjengelige oppgraderingsdato og -klokkeslett. Du kan utsette oppgraderingen til neste dag ved å klikke på Utsett med 24 timer.

Endre nodekonfigurasjonen

Av og til må du kanskje endre konfigurasjonen av den hybride datasikkerhetsnoden av en grunn som:

  • Endring av x.509-sertifikater på grunn av utløp eller andre årsaker.

    Vi støtter ikke endring av CN-domenenavnet for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.

  • Oppdaterer databaseinnstillinger for å endre til en kopi av PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt måte. Start en ny distribusjon av hybriddatasikkerhet for å bytte databasemiljøet.

  • Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.

Av sikkerhetshensyn bruker Hybrid Data Security også passord for tjenestekontoer som har en levetid på ni måneder. Når HDS-installasjonsverktøyet har generert disse passordene, distribuerer du dem til hver av HDS-nodene i ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløpsdato, mottar du et varsel fra Webex-teamet om å tilbakestille passordet for maskinkontoen din. (E-posten inneholder teksten "Bruk maskinkontoens API til å oppdatere passordet.") Hvis passordene dine ikke er utløpt ennå, gir verktøyet deg to alternativer:

  • Myk tilbakestilling– De gamle og de nye passordene fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.

  • Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.

Hvis passordene utløper uten tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.

Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.

Før du begynner

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fullstendige partneradministratorrettigheter.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i 1.e. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i godkjenningspolicyen.

1

Kjør HDS-installasjonsverktøyet ved hjelp av Docker på en lokal maskin.

  1. På maskinens kommandolinje angir du riktig kommando for miljøet:

    I vanlige miljøer:

    docker rmi ciscocitg/hds-oppsett:stabil

    I FedRAMP-miljøer:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

  2. Skriv inn følgende for å logge på Docker-bilderegisteret:

    innlogging for dokkers brukerstøtte

  3. Skriv inn denne hashen når du blir bedt om passord:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Last ned det nyeste stabile bildet for miljøet ditt:

    I vanlige miljøer:

    hengslet trekk ciscocitg/hds-oppsett:stabil

    I FedRAMP-miljøer:

    hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil

    Sørg for at du bruker det nyeste installasjonsverktøyet for denne prosedyren. Versjoner av verktøyet som er opprettet før 22. februar 2018, har ikke skjermbildene for tilbakestilling av passord.

  5. Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

    • I vanlige miljøer uten proxy:

      docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

    • I vanlige miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I vanlige miljøer med HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljøer uten proxy:

      docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

    • I FedRAMP-miljøer med HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Når containeren kjører, ser du "Express server lytter på port 8080."

  6. Bruk en nettleser til å koble til localhost, http://127.0.0.1:8080.

    Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

  7. Når du blir bedt om det, skriver du inn påloggingslegitimasjonen til Partner Hub-kunden og klikker deretter på Godta for å fortsette.

  8. Importer gjeldende ISO-konfigurasjonsfil.

  9. Følg instruksjonene for å fullføre verktøyet og laste ned den oppdaterte filen.

    Hvis du vil slå av installasjonsverktøyet, skriver du inn CTRL+C.

  10. Opprett en sikkerhetskopi av den oppdaterte filen i et annet datasenter.

2

Hvis du bare kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den ved hjelp av den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, kan du se Opprette og registrere flere noder.

  1. Installer HDS-verten OVA.

  2. Sett opp HDS VM.

  3. Monter den oppdaterte konfigurasjonsfilen.

  4. Registrer den nye noden i Partner Hub.

3

Montere ISO-filen for eksisterende HDS-noder som kjører den eldre konfigurasjonsfilen. Utfør følgende prosedyre på hver node igjen, og oppdater hver node før du slår av neste node:

  1. Slå av den virtuelle maskinen.

  2. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

  3. Klikk på CD/DVD-stasjon 1, velg alternativet for montering fra en ISO-fil, og bla til plasseringen der du lastet ned den nye ISO-konfigurasjonsfilen.

  4. Merk av for Koble til ved strøm på.

  5. Lagre endringene og strøm på den virtuelle maskinen.

4

Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen.

Slå av blokkert ekstern DNS-oppløsningsmodus

Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modus for blokkert ekstern DNS-oppløsning.

Hvis nodene dine kan løse offentlige DNS-navn gjennom interne DNS-servere, kan du slå av denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.

Før du begynner

Sørg for at dine interne DNS-servere kan løse offentlige DNS-navn, og at nodene dine kan kommunisere med dem.
1

Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/oppsett, for eksempel https://192.0.2.0/setup), angi administratorlegitimasjonen du har konfigurert for noden, og klikk deretter på Logg på.

2

Gå til Oversikt (standardsiden).

Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja.

3

Gå til siden Klareringslager og proxy .

4

Klikk på Kontroller proxy-tilkobling.

Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og vil forbli i denne modusen. Hvis ikke, etter at du har startet noden på nytt og gått tilbake til Oversikt -siden, skal Blokkert ekstern DNS-oppløsning settes til Nei.

Hva du skal gjøre nå

Gjenta proxy-tilkoblingstesten på hver node i klyngen for hybriddatasikkerhet.

Fjerne en node

Bruk denne fremgangsmåten for å fjerne en hybrid datasikkerhetsnode fra Webex-skyen. Når du har fjernet noden fra klyngen, sletter du den virtuelle maskinen for å hindre ytterligere tilgang til sikkerhetsdataene dine.
1

Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuelle maskinen.

2

Fjern noden:

  1. Logg på Partner Hub, og velg deretter Tjenester.

  2. Klikk på Vis alle på kortet for hybriddatasikkerhet for å vise siden for hybriddatasikkerhetsressurser.

  3. Velg klyngen din for å vise oversiktspanelet.

  4. Klikk på noden du vil fjerne.

  5. Klikk på Avregistrer denne noden i panelet som vises til høyre

  6. Du kan også avregistrere noden ved å klikke … til høyre for noden og velge Fjern denne noden.

3

Slett VM-en i vSphere-klienten. (Høyreklikk på VM i venstre navigasjonsrute, og klikk på Slett.)

Hvis du ikke sletter VM-en, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke VM til å få tilgang til sikkerhetsdataene dine.

Katastrofegjenoppretting ved hjelp av standbydatasenter

Den mest kritiske tjenesten som din hybride datasikkerhetsklynge tilbyr, er oppretting og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet hybriddatasikkerhet, rutes nye forespørsler om nøkkeloppretting til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.

Fordi klyngen utfører den kritiske funksjonen med å levere disse nøklene, er det viktig at klyngen forblir i drift og at riktige sikkerhetskopier opprettholdes. Tap av hybriddatasikkerhetsdatabasen eller konfigurasjons-ISO som brukes for skjemaet, vil føre til UGJENOPPRETTELIG TAP av kundeinnhold. Følgende fremgangsmåter er obligatoriske for å forhindre et slikt tap:

Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenteret blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til standbydatasenteret.

Før du begynner

Avregistrer alle noder fra Partner Hub som nevnt i Fjern en node. Bruk den nyeste ISO-filen som ble konfigurert mot nodene i klyngen som tidligere var aktiv, til å utføre failover-prosedyren som er nevnt nedenfor.
1

Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-verter.

2

Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne.

3

Ta en sikkerhetskopi av ISO-filen på ditt lokale system. Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer.

4

Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

5

Klikk på Rediger innstillinger >CD/DVD-stasjon 1 og velg ISO-fil for datalager.

Kontroller at Tilkoblet og Koble til ved påslått er merket av slik at oppdaterte konfigurasjonsendringer kan tre i kraft etter at nodene er startet.

6

Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 15 minutter.

7

Registrer noden i Partner Hub. Se Registrer den første noden i klyngen.

8

Gjenta prosessen for hver node i standbydatasenteret.

Hva du skal gjøre nå

Hvis det primære datasenteret blir aktivt igjen etter failover, avregistrerer du nodene i standby-datasenteret og gjentar prosessen med å konfigurere ISO og registrere noder i det primære datasenteret som nevnt ovenfor.

(Valgfritt) Fjern ISO etter HDS-konfigurasjon

Standard HDS-konfigurasjon kjøres med ISO-montert. Men noen kunder foretrekker ikke å forlate ISO-filer kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-nodene har tatt opp den nye konfigurasjonen.

Du bruker fortsatt ISO-filene til å foreta konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO gjennom installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en igjen med denne fremgangsmåten.

Før du begynner

Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.

1

Slå av en av HDS-nodene dine.

2

Velg HDS-noden i vCenter Server Appliance.

3

Velg Rediger innstillinger > CD/DVD-stasjon og fjern merket for ISO-fil for datalager.

4

Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 20 minutter.

5

Gjenta for hver HDS-node i sin tur.

Feilsøke hybrid datasikkerhet

Vis varsler og feilsøking

En distribusjon av hybriddatasikkerhet anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller klyngen fungerer så sakte at forespørslene blir tidsavbrutt. Hvis brukere ikke kan nå din hybride datasikkerhetsklynge, opplever de følgende symptomer:

  • Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)

  • Meldinger og områdetitler kan ikke dekrypteres for:

    • Nye brukere lagt til i et område (kan ikke hente nøkler)

    • Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)

  • Eksisterende brukere i et område vil fortsette å kjøre vellykket så lenge klientene deres har en hurtigbuffer med krypteringsnøklene

Det er viktig at du overvåker den hybride datasikkerhetsklyngen riktig og adresserer eventuelle varsler umiddelbart for å unngå tjenesteavbrudd.

Varsler

Hvis det er et problem med oppsettet av hybriddatasikkerhet, viser Partner Hub varsler til organisasjonens administrator og sender e-post til den konfigurerte e-postadressen. Varslene dekker mange vanlige scenarier.

Tabell 1. Vanlige problemer og fremgangsmåten for å løse dem

Varsel

Handling

Feil ved tilgang til lokal database.

Se etter databasefeil eller lokale nettverksproblemer.

Feil ved lokal databasetilkobling.

Kontroller at databaseserveren er tilgjengelig, og at riktig tjenestekontolegitimasjon ble brukt i nodekonfigurasjonen.

Feil ved tilgang til skytjeneste.

Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling.

Fornye registrering av skytjeneste.

Registrering til skytjenester ble avbrutt. Fornyelse av registrering pågår.

Registrering av skytjeneste avbrutt.

Registrering til skytjenester avsluttet. Tjenesten er stengt.

Tjenesten er ikke aktivert ennå.

Aktiver HDS i Partner Hub.

Konfigurert domene samsvarer ikke med serversertifikatet.

Kontroller at serversertifikatet samsvarer med det konfigurerte tjenesteaktiveringsdomenet.

Den mest sannsynlige årsaken er at sertifikatets CN nylig ble endret og nå er forskjellig fra CN som ble brukt under den første installasjonen.

Kunne ikke autentisere seg til skytjenester.

Sjekk for nøyaktighet og mulig utløp av legitimasjon for tjenestekontoen.

Kunne ikke åpne lokal nøkkelbutikkfil.

Kontroller integritet og passordnøyaktighet på den lokale nøkkelbutikkfilen.

Det lokale serversertifikatet er ugyldig.

Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans.

Kan ikke legge ut måledata.

Kontroller lokal nettverkstilgang til eksterne skytjenester.

/media/configdrive/hds-katalog finnes ikke.

Kontroller konfigurasjonen av ISO-monteringen på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å monteres ved omstart, og at den monteres.

Oppsett av leietakerorganisasjon er ikke fullført for de tilførte organisasjonene

Fullfør oppsettet ved å opprette CMK-er for nylig tillagte leietakerorganisasjoner ved hjelp av HDS-installasjonsverktøyet.

Oppsett av leietakerorganisasjon er ikke fullført for fjernede organisasjoner

Fullfør oppsettet ved å tilbakekalle CMK-er for leietakerorganisasjoner som ble fjernet ved hjelp av HDS-installasjonsverktøyet.

Feilsøke hybrid datasikkerhet

Bruk følgende generelle retningslinjer når du feilsøker problemer med hybriddatasikkerhet.
1

Se gjennom Partner Hub for eventuelle varsler og fikse eventuelle elementer du finner der. Se bildet nedenfor for referanse.

2

Se gjennom syslog-serverens utdata for aktivitet fra distribusjonen av hybriddatasikkerhet. Filtrer etter ord som "Advarsel" og "Feil" for å hjelpe til med feilsøking.

3

Kontakt Ciscos kundestøtte.

Andre merknader

Kjente problemer for hybrid datasikkerhet

  • Hvis du avslutter klyngen for hybriddatasikkerhet (ved å slette den i Partner Hub eller ved å avslutte alle noder), mister konfigurasjons-ISO-filen eller mister tilgangen til nøkkelbutikkdatabasen, kan ikke Webex-appbrukere i kundeorganisasjoner lenger bruke områder under Personer-listen sin som ble opprettet med nøkler fra KMS. Vi har for øyeblikket ingen løsning eller løsning på dette problemet, og vi oppfordrer deg til ikke å avslutte HDS-tjenestene når de håndterer aktive brukerkontoer.

  • En klient som har en eksisterende ECDH-tilkobling til en KMS opprettholder denne tilkoblingen i en tidsperiode (sannsynligvis én time).

Bruk OpenSSL til å generere en PKCS12-fil

Før du begynner

  • OpenSSL er et verktøy som kan brukes til å lage PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi støtter ikke eller fremmer en måte fremfor en annen.

  • Hvis du velger å bruke OpenSSL, tilbyr vi denne prosedyren som en veiledning for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i X.509-sertifikatkrav. Forstå disse kravene før du fortsetter.

  • Installer OpenSSL i et støttet miljø. Se https://www.openssl.org for programvare og dokumentasjon.

  • Opprett en privat nøkkel.

  • Start denne prosedyren når du mottar serversertifikatet fra Certificate Authority (CA).

1

Når du mottar serversertifikatet fra din CA, lagrer du det som hdsnode.pem.

2

Vis sertifikatet som tekst og bekreft detaljene.

openssl x509 -tekst -noout -i hdsnode.pem

3

Bruk et tekstredigeringsprogram til å opprette en sertifikatbuntfil kalt hdsnode-bundle.pem. Pakkefilen må inneholde serversertifikatet, eventuelle mellomliggende CA-sertifikater og rot-CA-sertifikatene i formatet nedenfor:

-----start sertifikat------ ### Serversertifikat ### -----end sertifikat------------ start sertifikat----- ### Mellomliggende CA-sertifikat. ### -----end sertifikat------------ start sertifikat----- ### Rot-CA-sertifikat. ### -----end sertifikat-----

4

Opprett .p12-filen med det vennlige navnet kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontroller serversertifikatdetaljene.

  1. openssl pkcs12 -i eno-dsnode.p12

  2. Skriv inn et passord når du blir bedt om å kryptere den private nøkkelen slik at den blir oppført i utdata. Deretter bekrefter du at den private nøkkelen og det første sertifikatet inkluderer linjene vennligeName: kms-privat nøkkel.

    Eksempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Angi importpassord: MAC bekreftet OK Bag-attributter friendlyName: kms-privat nøkkel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nøkkelattributter:  Angi PEM-passfrase: Bekreft – angi PEM-passfrase: -----BEGIN KRYPTERT PRIVAT NØKKEL-----  -----END KRYPTERT PRIVAT NØKKEL----- Bag Attributter friendlyName: kms-privat nøkkel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=La oss kryptere/CN=La oss kryptere autoritet X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Posens attributter friendlyName: CN=La oss kryptere myndighet X3,O=La oss kryptere,C=US subject=/C=US/O=La oss kryptere myndighet X3 utsteder=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE------

Hva du skal gjøre nå

Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet. Du bruker hdsnode.p12 -filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-verter.

Du kan bruke disse filene på nytt for å be om et nytt sertifikat når det opprinnelige sertifikatet utløper.

Trafikk mellom HDS-nodene og skyen

Utgående metrikkinnsamlingstrafikk

Nodene for hybriddatasikkerhet sender visse målinger til Webex-skyen. Disse inkluderer systemmålinger for maks. heap, heap brukt, CPU-belastning og antall tråder, målinger på synkrone og asynkrone tråder, målinger på varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller lengde på en forespørselskø, målinger på datalageret og krypteringstilkoblingsmålinger. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).

Innkommende trafikk

Nodene for hybriddatasikkerhet mottar følgende typer innkommende trafikk fra Webex-skyen:

  • Krypteringsforespørsler fra klienter som rutes av krypteringstjenesten

  • Oppgraderinger til nodeprogramvaren

Konfigurere Squid-proxyer for hybriddatasikkerhet

Websocket kan ikke koble til via Squid-proxy

Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av websocket-tilkoblinger (wss:) som hybriddatasikkerhet krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss: trafikk for riktig drift av tjenestene.

Squid 4 og 5

Legg til on_unsupported_protocol direktivet i squid.conf:

on_unsupported_protocol tunnel alle

Squid 3.5.27

Vi testet hybriddatasikkerhet med følgende regler lagt til i squid.conf. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.

acl wssMercuryConnection ssl::server_name_regex mercury-tilkobling ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump titte step1 alle ssl_bump stirre step2 alle ssl_bump bump step3 alle

Ny og endret informasjon

Ny og endret informasjon

Denne tabellen dekker nye funksjoner eller funksjonalitet, endringer i eksisterende innhold og eventuelle store feil som ble løst i distribusjonsveiledningen for hybriddatasikkerhet for flere leietakere.

Dato

Endringer gjort

08. januar 2025

La til en merknad i Utfør innledende konfigurering og nedlasting av installasjonsfiler som sier at det er et viktig trinn i installasjonsprosessen å klikke på Konfigurer på HDS-kortet i Partner Hub.

07. januar 2025

Oppdaterte krav til virtuell vert, oppgaveflyt for distribusjon av hybrid datasikkerhet og Installer HDS Host OVA for å vise nye krav til ESXi 7.0.

13. desember 2024

Først publisert.

Deaktivere hybriddatasikkerhet for flere leietakere

Oppgaveflyt for deaktivering av HDS for flere leietakere

Følg disse trinnene for å deaktivere HDS for flere leietakere fullstendig.

Før du begynner

Denne oppgaven skal bare utføres av en fullstendig partneradministrator.
1

Fjern alle kunder fra alle klyngene dine, som nevnt i Fjern leietakerorganisasjoner.

2

Tilbakekall CMK-er for alle kunder, som nevnt i Tilbakekall CMK-er for leiere som er fjernet fra HDS..

3

Fjern alle noder fra alle klyngene dine, som nevnt i Fjern en node.

4

Slett alle klyngene dine fra Partner Hub ved hjelp av én av følgende to metoder.

  • Klikk på klyngen du vil slette, og velg Slett denne klyngen øverst til høyre på oversiktssiden.
  • På Ressurser-siden klikker du på … til høyre for en klynge, og velger Fjern klynge.
5

Klikk på fanen Innstillinger på oversiktssiden for hybriddatasikkerhet, og klikk på Deaktiver HDS på HDS-statuskortet.

Kom i gang med hybriddatasikkerhet for flere leietakere

Oversikt over hybriddatasikkerhet for flere leietakere

Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er innholdskryptering fra ende-til-ende, aktivert av Webex-appklienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografiske nøkler som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.

Som standard får alle Webex-appkunder ende-til-ende-kryptering med dynamiske nøkler lagret i skyen KMS, i Ciscos sikkerhetsområde. Hybrid Data Security flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, så ingen andre enn deg har nøklene til ditt krypterte innhold.

Hybriddatasikkerhet med flere leietakere gjør det mulig for organisasjoner å utnytte HDS gjennom en klarert lokal partner, som kan fungere som tjenesteleverandør og administrere lokal kryptering og andre sikkerhetstjenester. Dette oppsettet gjør det mulig for partnerorganisasjonen å ha full kontroll over distribusjon og administrasjon av krypteringsnøkler og sikrer at brukerdata fra kundeorganisasjoner er trygge mot ekstern tilgang. Partnerorganisasjoner setter opp HDS-forekomster og oppretter HDS-klynger etter behov. Hver forekomst kan støtte flere kundeorganisasjoner i motsetning til en vanlig HDS-distribusjon som er begrenset til én enkelt organisasjon.

Selv om partnerorganisasjoner har kontroll over distribusjon og administrasjon, har de ikke tilgang til data og innhold som genereres av kunder. Denne tilgangen er begrenset til kundeorganisasjoner og deres brukere.

Dette gjør det også mulig for mindre organisasjoner å utnytte HDS, siden tjeneste for nøkkeladministrasjon og sikkerhetsinfrastruktur som datasentre eies av den klarerte lokale partneren.

Hvordan hybriddatasikkerhet for flere leietakere gir datasuverenitet og datakontroll

  • Brukergenerert innhold er beskyttet mot ekstern tilgang, for eksempel skytjenesteleverandører.
  • Lokale klarerte partnere administrerer krypteringsnøklene til kunder de allerede har etablert relasjoner med.
  • Alternativ for lokal teknisk støtte, hvis den leveres av partneren.
  • Støtter innhold i møter, meldinger og anrop.

Dette dokumentet er ment å hjelpe partnerorganisasjoner med å konfigurere og administrere kunder under et hybriddatasikkerhetssystem for flere leietakere.

Roller i hybriddatasikkerhet for flere leietakere

  • Fullstendig partneradministrator – Kan administrere innstillinger for alle kunder som partneren administrerer. Kan også tilordne administratorroller til eksisterende brukere i organisasjonen og tilordne bestemte kunder som skal administreres av partneradministratorer.
  • Partneradministrator – Kan administrere innstillinger for kunder som administratoren har klargjort, eller som er tilordnet brukeren.
  • Fullverdig administrator – Administrator for partnerorganisasjonen som er autorisert til å utføre oppgaver som å endre organisasjonsinnstillinger, administrere lisenser og tilordne roller.
  • Oppsett og administrasjon av HDS med flere leietakere fra ende til ende for alle kundeorganisasjoner – fullstendig partneradministrator og fullstendige administratorrettigheter kreves.
  • Administrasjon av tilordnede leietakerorganisasjoner – Partneradministrator og fullstendige administratorrettigheter kreves.

Sikkerhetsområde arkitektur

Webex-skyarkitekturen skiller forskjellige typer tjenester inn i separate områder, eller klareringsdomener, som vist nedenfor.

Områder for separasjon (uten hybrid datasikkerhet)

For å forstå hybrid datasikkerhet ytterligere, la oss først se på dette rene skytilfellet, der Cisco leverer alle funksjonene i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan være direkte korrelert med sine personopplysninger, for eksempel e-postadresse, er logisk og fysisk adskilt fra sikkerhetsområdet i datasenter B. Begge er i sin tur adskilt fra området der kryptert innhold lagres, i datasenter C.

I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og er godkjent med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:

  1. Klienten oppretter en sikker tilkobling til nøkkeladministrasjonstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikre tilkoblingen bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en hovednøkkel AES-256.

  2. Meldingen krypteres før den forlater klienten. Klienten sender det til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe i fremtidige søk etter innholdet.

  3. Den krypterte meldingen sendes til samsvarstjenesten for kontroll av samsvar.

  4. Den krypterte meldingen lagres i lagringsområdet.

Når du distribuerer hybrid datasikkerhet, flytter du sikkerhetsområdefunksjonene (KMS, indeksering og samsvar) til det lokale datasenteret. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos områder.

Samarbeide med andre organisasjoner

Brukere i organisasjonen kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen din (fordi det ble opprettet av en av brukerne), sender KMS nøkkelen til klienten via en ECDH-sikret kanal. Når en annen organisasjon eier nøkkelen for området, sender KMS imidlertid forespørselen ut til Webex-skyen via en egen ECDH-kanal for å hente nøkkelen fra den aktuelle KMS, og returnerer deretter nøkkelen til brukeren din på den opprinnelige kanalen.

KMS-tjenesten som kjører på Org A, validerer tilkoblingene til KMS i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet hvis du vil ha mer informasjon om hvordan du genererer et x.509-sertifikat som skal brukes med distribusjonen av hybriddatasikkerhet for flere leietakere.

Forventninger til distribusjon av hybrid datasikkerhet

En distribusjon av hybrid datasikkerhet krever betydelig forpliktelse og bevissthet om risikoene som følger med å eie krypteringsnøkler.

For å distribuere hybrid datasikkerhet må du oppgi:

Fullstendig tap av enten konfigurasjons-ISO-en du bygger for hybriddatasikkerhet eller databasen du leverer, vil føre til tap av nøklene. Nøkkeltap hindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:

  • Administrer sikkerhetskopiering og gjenoppretting av databasen og konfigurasjons-ISO.

  • Vær forberedt på å utføre rask katastrofegjenoppretting hvis en katastrofe oppstår, for eksempel databasediskfeil eller datasenterkatastrofe.

Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon.

Oppsettsprosess på høyt nivå

Dette dokumentet dekker oppsettet og administrasjonen av en distribusjon av hybriddatasikkerhet for flere leietakere:

  • Konfigurere hybrid datasikkerhet – Dette inkluderer klargjøring av nødvendig infrastruktur og installering av hybrid datasikkerhetsprogramvare, bygging av en HDS-klynge, tillegging av leierorganisasjoner i klyngen og administrasjon av kundens hovednøkler (CMK-er). Dette vil gjøre det mulig for alle brukere i kundeorganisasjonene dine å bruke den hybride datasikkerhetsklyngen til sikkerhetsfunksjoner.

    Installasjons-, aktiverings- og administrasjonsfasene er beskrevet i detalj i de neste tre kapitlene.

  • Oppretthold distribusjonen av hybrid datasikkerhet – Webex-skyen gir automatisk pågående oppgraderinger. IT-avdelingen din kan gi støtte på nivå én for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke varsler på skjermen og konfigurere e-postbaserte varsler i Partner Hub.

  • Forstå vanlige varsler, feilsøkingstrinn og kjente problemer– Hvis du har problemer med å distribuere eller bruke hybriddatasikkerhet, kan det siste kapitlet i denne veiledningen og vedlegget Kjente problemer hjelpe deg med å finne og løse problemet.

Distribusjonsmodell for hybrid datasikkerhet

I bedriftens datasenter distribuerer du hybrid datasikkerhet som én klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen via sikre websockets og sikre HTTP.

Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere det virtuelle apparatet på VM-ene du leverer. Du bruker HDS-installasjonsverktøyet til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Den hybride datasikkerhetsklyngen bruker den oppgitte Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)

Distribusjonsmodell for hybrid datasikkerhet

Minimum antall noder du kan ha i en klynge, er to. Vi anbefaler minst tre per klynge. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)

Alle noder i en klynge får tilgang til samme nøkkeldatalager og loggaktivitet til samme syslog-server. Nodene selv er statsløse, og håndterer nøkkelforespørsler på rund-robin-modus, som styres av skyen.

Noder blir aktive når du registrerer dem i Partner Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.

Standby Data Center for katastrofegjenoppretting

Under distribusjonen setter du opp et sikkert standbydatasenter. I tilfelle en datasenterkatastrofe, kan du manuelt mislykkes distribusjonen til standbydatasenteret.

Før failover har datasenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-databasen, mens B har en kopi av ISO-filen med ekstra konfigurasjoner, virtuelle maskiner som er registrert i organisasjonen, og en standbydatabase. Etter failover har datasenter B aktive HDS-noder og den primære databasen, mens A har uregistrerte VM-er og en kopi av ISO-filen, og databasen er i standbymodus.
Manuell failover til standby-datasenter

Databasene til de aktive datasentrene og standbydatasentrene er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover.

De aktive nodene for hybriddatasikkerhet må alltid være i samme datasenter som den aktive databaseserveren.

Proxy-støtte

Hybrid Data Security støtter eksplisitte, gjennomsiktige inspeksjons- og ikke-inspeksjons-proxyer. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et plattformadministratorgrensesnitt på nodene for sertifikatadministrasjon og for å kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.

Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:

  • Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Trust Store & Proxy-konfigurasjonen til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.

  • Gjennomsiktig ikke-inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse og bør ikke kreve endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.

  • Gjennomsiktig tunnelering eller inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjonen er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de stoler på proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).

  • Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og godkjenningsskjema som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon på hver node:

    1. Proxy-IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

    3. Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:

      • HTTP – viser og kontrollerer alle forespørsler som klienten sender.

      • HTTPS – Gir en kanal til serveren. Klienten mottar og validerer serverens sertifikat.

    4. Godkjenningstype– velg blant følgende godkjenningstyper:

      • Ingen – Ingen ytterligere godkjenning er nødvendig.

        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

      • Grunnleggende – Brukes for en HTTP-brukeragent til å oppgi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

        Krever at du skriver inn brukernavn og passord for hver node.

      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

        Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.

        Krever at du skriver inn brukernavn og passord for hver node.

Eksempel på noder og proxy for hybriddatasikkerhet

Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og eksplisitt HTTPS-inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.

Blokkert ekstern DNS-oppløsningsmodus (eksplisitte proxy-konfigurasjoner)

Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsning-modus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.

Forbered miljøet ditt

Krav til hybriddatasikkerhet for flere leietakere

Krav til Cisco Webex-lisens

Slik distribuerer du hybriddatasikkerhet for flere leietakere:

  • Partnerorganisasjoner: Kontakt din Cisco-partner eller kontoadministrator og sørg for at funksjonen for flere leietakere er aktivert.

  • Leietakerorganisasjoner: Du må ha Pro Pack for Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker-skrivebord

Før du installerer HDS-nodene, trenger du Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig sin lisensieringsmodell. Organisasjonen din kan kreve et betalt abonnement på Docker Desktop. Hvis du vil ha mer informasjon, kan du se innlegget til Docker-bloggen, «Docker oppdaterer og utvider våre produktabonnementer».

X.509-sertifikatkrav

Sertifikatkjeden må oppfylle følgende krav:

Tabell 1. X.509-sertifikatkrav for distribusjon av hybriddatasikkerhet

Krav

Detaljer

  • Signert av en klarert sertifiseringsinstans (CA)

Som standard stoler vi på sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har et Common Name (CN) domenenavn som identifiserer din distribusjon av hybriddatasikkerhet

  • Er ikke et jokertegn

CN trenger ikke å være tilgjengelig eller en direkte vert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel hds.company.com.

CN kan ikke inneholde et * (jokertegn).

CN brukes til å bekrefte nodene for hybriddatasikkerhet til Webex-appklienter. Alle nodene for hybriddatasikkerhet i klyngen bruker det samme sertifikatet. KMS identifiserer seg selv ved hjelp av CN-domenet, ikke et domene som er definert i x.509v3 SAN-feltene.

Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN-domenenavnet.

  • Ikke-SHA1-signatur

KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjons KMS-er.

  • Formatert som en passordbeskyttet PKCS #12-fil

  • Bruk det vennlige navnet på kms-private-key for å tagge sertifikatet, privat nøkkel og eventuelle mellomliggende sertifikater som skal lastes opp.

Du kan bruke en konverter som OpenSSL til å endre sertifikatets format.

Du må angi passordet når du kjører HDS-installasjonsverktøyet.

KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifikatmyndigheter krever at utvidede nøkkelbruksbegrensninger brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.

Krav til virtuell vert

De virtuelle vertene som du vil konfigurere som Hybrid Data Security-noder i klyngen har følgende krav:

  • Minst to separate verter (3 anbefales) plassert i samme sikre datasenter

  • VMware ESXi 7.0 (eller nyere) installert og kjører.

    Du må oppgradere hvis du har en tidligere versjon av ESXi.

  • Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokalt harddiskplass per server

Krav til databaseserver

Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene oppretter databaseskjemaet når de er installert.

Det finnes to alternativer for databaseserver. Kravene til hver av dem er som følger:

Tabell 2. Databaseserverkrav etter type database

PostgreSql

Microsoft SQL Server

  • PostgreSQL 14, 15 eller 16, installert og kjører.

  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installert.

    SQL Server 2016 krever Service Pack 2 og kumulativ oppdatering 2 eller nyere.

Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at det ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at det ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserveren:

PostgreSql

Microsoft SQL Server

Postgres JDBC driver 42.2.5

SQL Server JDBC driver 4.6

Denne driverversjonen støtter SQL Server Always On (Always On Failover Cluster Instances og Always On Availability Groups).

Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server

Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til Keystore-databasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:

  • HDS-nodene, Active Directory-infrastrukturen og MS SQL Server må alle synkroniseres med NTP.

  • Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.

  • DNS-serverne du leverer til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).

  • Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et tjenestehovednavn (SPN) i Active Directory. Se Registrer tjenestens hovednavn for Kerberos-tilkoblinger.

    HDS-installasjonsverktøyet, HDS-oppstartsprogrammet og lokal KMS må bruke Windows-godkjenning for å få tilgang til nøkkelbutikkdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN-en når de ber om tilgang med Kerberos-godkjenning.

Krav til ekstern tilkobling

Konfigurer brannmuren slik at den tillater følgende tilkobling for HDS-programmene:

Applikasjon

Protokoll

Port

Retning fra appen

Destinasjon

Noder for hybriddatasikkerhet

tcp

443

Utgående HTTPS og WSS

  • Webex-servere:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-verter

  • Andre URL-adresser som er oppført for hybriddatasikkerhet i tabellen Ytterligere URL-adresser for Webex-hybridtjenester med Nettverkskrav for Webex-tjenester

HDS-oppsettsverktøy

tcp

443

Utgående HTTPS

  • *.wbx2.com

  • Alle Common Identity-verter

  • hub.docker.com

Nodene for hybriddatasikkerhet fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmuren tillater de nødvendige utgående tilkoblingene til domenet-målene i tabellen ovenfor. Ingen porter skal være synlige fra Internett for tilkoblinger som går inn til nodene for hybriddatasikkerhet. I datasenteret trenger klienter tilgang til nodene for hybriddatasikkerhet på TCP-portene 443 og 22 av administrative grunner.

URL-adressene for Common Identity (CI)-vertene er områdespesifikke. Dette er de gjeldende CI-vertene:

Region

URL-adresser for Common Identity Host

Nord-Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Den europeiske union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

De forente arabiske emirater

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Krav til proxy-server

  • Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene for hybriddatasikkerhet.

    • Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).

    • Eksplisitt proxy – Squid.

      Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre opprettelsen av websocket-tilkoblinger (wss:). Hvis du vil omgå dette problemet, kan du se Konfigurere Squid-proxyer for hybriddatasikkerhet.

  • Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:

    • Ingen godkjenning med HTTP eller HTTPS

    • Grunnleggende godkjenning med HTTP eller HTTPS

    • Digest-godkjenning kun med HTTPS

  • For en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne veiledningen forteller deg hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnodene.

  • Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.

  • Proxyer som inspiserer webtrafikk kan forstyrre Web Socket-tilkoblinger. Hvis dette problemet oppstår, vil det å omgå (ikke inspisere) trafikk til wbx2.com , og ciscospark.com vil løse problemet.

Fullfør forutsetningene for hybrid datasikkerhet

Bruk denne sjekklisten til å sikre at du er klar til å installere og konfigurere den hybride datasikkerhetsklyngen.
1

Sørg for at partnerorganisasjonen din har HDS-funksjonen for flere leietakere aktivert og få legitimasjonen til en konto med fullstendig partneradministrator og fullstendige administratorrettigheter. Påse at Webex-kundeorganisasjonen er aktivert for Pro Pack for Cisco Webex Control Hub. Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen.

Kundeorganisasjoner skal ikke ha noen eksisterende HDS-distribusjon.

2

Velg et domenenavn for HDS-distribusjonen (for eksempel hds.company.com) og hent en sertifikatkjede som inneholder et X.509-sertifikat, privat nøkkel og eventuelle mellomliggende sertifikater. Sertifikatkjeden må oppfylle kravene i X.509 Sertifikatkrav.

3

Klargjør identiske virtuelle verter som du vil konfigurere som Hybrid Data Security-noder i klyngen. Du trenger minst to separate verter (3 anbefales) plassert i samme sikre datasenter, som oppfyller kravene i Krav til virtuelle verter.

4

Klargjør databaseserveren som skal fungere som nøkkeldatalager for klyngen, i henhold til Databaseserverkrav. Databaseserveren må være plassert i det sikre datasenteret med de virtuelle vertene.

  1. Opprett en database for nøkkellagring. (Du må opprette denne databasen – ikke bruk standarddatabasen. HDS-programmene oppretter databaseskjemaet når de er installert.)

  2. Samle inn detaljene som nodene skal bruke til å kommunisere med databaseserveren:

    • vertsnavnet eller IP-adressen (vert) og port

    • navnet på databasen (dbname) for nøkkellagring

    • brukernavnet og passordet til en bruker med alle rettigheter i databasen for nøkkellagring

5

For rask katastrofegjenoppretting konfigurerer du et sikkerhetskopieringsmiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet til VM-er og en sikkerhetskopidatabaseserver. Hvis for eksempel produksjonen har 3 VM-er som kjører HDS-noder, skal sikkerhetskopieringsmiljøet ha 3 VM-er.

6

Sett opp en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadressen og syslog-porten (standard er UDP 514).

7

Opprett en sikker sikkerhetskopieringspolicy for nodene for hybriddatasikkerhet, databaseserveren og syslog-verten. For å forhindre ugjenopprettelig tap av data må du som minimum sikkerhetskopiere databasen og konfigurasjonsfilen som genereres for nodene for hybriddatasikkerhet.

Fordi nodene for hybriddatasikkerhet lagrer nøklene som brukes til kryptering og dekryptering av innhold, vil manglende vedlikehold av en operativ distribusjon føre til UGJENOPPRETTELIG TAP av dette innholdet.

Webex-appklienter bufrer nøklene sine, så det kan hende at et driftsbrudd ikke er umiddelbart merkbart, men vil bli tydelig over tid. Selv om midlertidige avbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopieringer tilgjengelig) av enten databasen eller konfigurasjons-ISO-filen vil imidlertid føre til ugjenopprettbare kundedata. Operatørene av nodene for hybriddatasikkerhet forventes å opprettholde hyppige sikkerhetskopieringer av databasen og konfigurasjonsfilen, og være forberedt på å gjenoppbygge datasenteret for hybriddatasikkerhet hvis det oppstår en katastrofal feil.

8

Kontroller at brannmurkonfigurasjonen tillater tilkobling for hybriddatasikkerhetsnodene som beskrevet i Krav til ekstern tilkobling.

9

Installer Docker ( https://www.docker.com) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til det på http://127.0.0.1:8080.

Du bruker Docker-forekomsten til å laste ned og kjøre HDS-installasjonsverktøyet, som bygger den lokale konfigurasjonsinformasjonen for alle nodene for hybriddatasikkerhet. Du trenger kanskje en Docker Desktop-lisens. Se Krav til Docker Desktop for mer informasjon.

For å installere og kjøre HDS-installasjonsverktøyet må den lokale maskinen ha tilkoblingen beskrevet i Krav til ekstern tilkobling.

10

Hvis du integrerer en proxy med hybriddatasikkerhet, må du sørge for at den oppfyller kravene til proxy-serveren.

Konfigurere en klynge for hybriddatasikkerhet

Oppgaveflyt for distribusjon av hybrid datasikkerhet

Før du begynner

1

Utfør første konfigurasjon og last ned installasjonsfiler

Last ned OVA-filen til din lokale maskin for senere bruk.

2

Opprette en konfigurasjons-ISO for HDS-verter

Bruk HDS-installasjonsverktøyet til å opprette en ISO-konfigurasjonsfil for nodene for hybriddatasikkerhet.

3

Installere HDS Host OVA

Opprett en virtuell maskin fra OVA-filen og utfør første konfigurasjon, for eksempel nettverksinnstillinger.

Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 7.0. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

4

Konfigurere VM for hybriddatasikkerhet

Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA ble distribuert.

5

Laste opp og montere konfigurasjons-ISO for HDS

Konfigurer VM fra ISO-konfigurasjonsfilen du opprettet med HDS-installasjonsverktøyet.

6

Konfigurere HDS-noden for proxy-integrering

Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du hvilken type proxy du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig.

7

Registrer den første noden i klyngen

Registrer VM med Cisco Webex-skyen som en hybrid datasikkerhetsnode.

8

Opprett og registrer flere noder

Fullfør klyngeoppsettet.

9

Aktiver HDS for flere leietakere på Partner Hub.

Aktiver HDS og administrer leierorganisasjoner på Partner Hub.

Utfør første konfigurasjon og last ned installasjonsfiler

I denne oppgaven laster du ned en OVA-fil til maskinen din (ikke til serverne du konfigurerer som Hybrid Data Security-noder). Du bruker denne filen senere i installasjonsprosessen.

1

Logg på Partner Hub, og klikk deretter på Tjenester.

2

Finn kortet for hybriddatasikkerhet under Skytjenester, og klikk deretter på Konfigurer.

Å klikke på Konfigurer i Partner Hub er avgjørende for distribusjonsprosessen. Ikke fortsett med installasjonen uten å fullføre dette trinnet.

3

Klikk på Legg til en ressurs , og klikk på Last ned .OVA-fil på kortet Installer og konfigurer programvare .

Eldre versjoner av programvarepakken (OVA) vil ikke være kompatible med de nyeste oppgraderingene for hybriddatasikkerhet. Dette kan føre til problemer under oppgradering av programmet. Sørg for at du laster ned den nyeste versjonen av OVA-filen.

Du kan også laste ned OVA når som helst fra Hjelp -delen. Klikk på Innstillinger > Hjelp > Last ned programvare for hybriddatasikkerhet.

OVA-filen begynner automatisk å lastes ned. Lagre filen på en plassering på maskinen.
4

Du kan eventuelt klikke på Se distribusjonsveiledning for hybriddatasikkerhet for å sjekke om det finnes en senere versjon av denne veiledningen.

Opprette en konfigurasjons-ISO for HDS-verter

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

Før du begynner
1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

På siden ISO-import har du disse alternativene:

  • Nei– Hvis du oppretter din første HDS-node, har du ikke en ISO-fil å laste opp.
  • Ja – Hvis du allerede har opprettet HDS-noder, velger du ISO-filen din i nettleseren og laster den opp.
10

Kontroller at X.509-sertifikatet oppfyller kravene i X.509-sertifikatkrav.

  • Hvis du aldri har lastet opp et sertifikat før, laster du opp X.509-sertifikatet, skriver inn passordet og klikker på Fortsett.
  • Hvis sertifikatet er OK, klikker du på Fortsett.
  • Hvis sertifikatet har utløpt eller du vil erstatte det, velger du Nei for Fortsett å bruke HDS-sertifikatkjede og privat nøkkel fra forrige ISO?. Last opp et nytt X.509-sertifikat, skriv inn passordet, og klikk på Fortsett.
11

Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret:

  1. Velg Databasetype (PostgreSQL eller Microsoft SQL Server).

    Hvis du velger Microsoft SQL Server, får du et felt for godkjenningstype.

  2. (Kun Microsoft SQL Server ) Velg godkjenningstype:

    • Grunnleggende godkjenning: Du trenger et lokalt SQL Server-kontonavn i Brukernavn -feltet.

    • Windows-godkjenning: Du trenger en Windows-konto i formatet username@DOMAIN i Brukernavn -feltet.

  3. Skriv inn databaseserveradressen i skjemaet : eller :.

    Eksempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan bruke en IP-adresse for grunnleggende godkjenning, hvis nodene ikke kan bruke DNS til å løse vertsnavnet.

    Hvis du bruker Windows-godkjenning, må du angi et fullt kvalifisert domenenavn i formatet dbhost.example.org:1433

  4. Skriv inn Databasenavn.

  5. Skriv inn Brukernavn og Passord til en bruker med alle rettigheter i databasen for nøkkellagring.

12

Velg en TLS-databasetilkoblingsmodus:

Modus

Beskrivelse

Foretrekker TLS (standardalternativ)

HDS-noder krever ikke TLS for å koble til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøker nodene en kryptert tilkobling.

Krev TLS

HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

Krev TLS og bekreft sertifikatsignerer

Denne modusen gjelder ikke for SQL Server-databaser.

  • HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

  • Etter å ha opprettet en TLS-tilkobling, sammenligner noden signeringen av sertifikatet fra databaseserveren med sertifikatmyndigheten i Databaserotsertifikat. Hvis de ikke samsvarer, mister noden tilkoblingen.

Bruk kontrollen Databaserotsertifikat under rullegardinlisten for å laste opp rotsertifikatet for dette alternativet.

Krev TLS og bekreft sertifikatsignerer og vertsnavn

  • HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

  • Etter å ha opprettet en TLS-tilkobling, sammenligner noden signeringen av sertifikatet fra databaseserveren med sertifikatmyndigheten i Databaserotsertifikat. Hvis de ikke samsvarer, mister noden tilkoblingen.

  • Nodene bekrefter også at vertsnavnet i serversertifikatet samsvarer med vertsnavnet i feltet Databasevert og port . Navnene må samsvare nøyaktig, ellers mister noden tilkoblingen.

Bruk kontrollen Databaserotsertifikat under rullegardinlisten for å laste opp rotsertifikatet for dette alternativet.

Når du laster opp rotsertifikatet (om nødvendig) og klikker på Fortsett, tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserveren. Verktøyet bekrefter også sertifikatsigneringen og vertsnavnet, hvis aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan HDS-nodene være i stand til å etablere TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.)

13

På siden Systemlogger konfigurerer du Syslogd-serveren:

  1. Skriv inn URL-adressen til syslog-serveren.

    Hvis serveren ikke kan løses DNS fra nodene for HDS-klyngen, bruker du en IP-adresse i URL-adressen.

    Eksempel:
    udp://10.92.43.23:514 angir logging til Syslogd-verten 10.92.43.23 på UDP-port 514.

  2. Hvis du konfigurerer serveren til å bruke TLS-kryptering, merker du av for Er syslog-serveren konfigurert for SSL-kryptering?.

    Hvis du merker av i denne avmerkingsboksen, må du angi en TCP-URL, for eksempel tcp://10.92.43.23:514.

  3. Fra rullegardinlisten Velg avslutning av syslog-post velger du riktig innstilling for ISO-filen: Velg eller Newline brukes for Graylog og Rsyslog TCP

    • Null byte -- \x00

    • Newline -- \n– Velg dette alternativet for Graylog og Rsyslog TCP.

  4. Klikk på Fortsett.

14

(Valgfritt) Du kan endre standardverdien for noen parametere for databasetilkobling i Avanserte innstillinger. Generelt er denne parameteren den eneste du kanskje vil endre:

app_datasource_connection_pool_maxStørrelse: 10
15

Klikk på Fortsett på skjermen Tilbakestill passord for tjenestekontoer .

Passord for tjenestekontoen har en levetid på ni måneder. Bruk dette skjermbildet når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem til å ugyldiggjøre tidligere ISO-filer.

16

Klikk på Last ned ISO-fil. Lagre filen på et sted som er lett å finne.

17

Ta en sikkerhetskopi av ISO-filen på ditt lokale system.

Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer.

18

Hvis du vil slå av installasjonsverktøyet, skriver du inn CTRL+C.

Hva du skal gjøre nå

Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.

Vi har aldri en kopi av denne nøkkelen og kan ikke hjelpe hvis du mister den.

Installere HDS Host OVA

Bruk denne fremgangsmåten for å opprette en virtuell maskin fra OVA-filen.
1

Bruk VMware vSphere-klienten på datamaskinen for å logge på den virtuelle ESXi-verten.

2

Velg Fil > Distribuer OVF-mal.

3

I veiviseren angir du plasseringen til OVA-filen du lastet ned tidligere, og klikker deretter på Neste.

4

På siden Velg et navn og mappe skriver du inn et Virtuelt maskinnavn for noden (for eksempel «HDS_Node_1»), velger et sted der den virtuelle maskinnodedistribusjonen kan ligge, og klikker deretter på Neste.

5

På siden Velg en beregningsressurs velger du destinasjonsberegningsressursen, og klikker deretter på Neste.

En valideringskontroll kjører. Når den er ferdig, vises maldetaljene.

6

Bekreft maldetaljene, og klikk deretter på Neste.

7

Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon -siden, klikker du på 4 CPU og klikker deretter på Neste.

8

På siden Velg lagring klikker du på Neste for å godta standard diskformat og retningslinjer for lagring av VM.

9

På siden Velg nettverk velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til VM-en.

10

Konfigurer følgende nettverksinnstillinger på siden Tilpass mal :

  • Vertsnavn– angi FQDN (vertsnavn og domene) eller et enkelt ord vertsnavn for noden.

    • Du trenger ikke å angi domenet til å samsvare med domenet du brukte til å skaffe X.509-sertifikatet.

    • For å sikre vellykket registrering til skyen må du bare bruke små bokstaver i FQDN eller vertsnavnet du angir for noden. Kapitalisering støttes ikke på dette tidspunktet.

    • Den totale lengden på FQDN må ikke overstige 64 tegn.

  • IP-adresse– angi IP-adressen for nodens interne grensesnitt.

    Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke.

  • Maske– Angi nettverksmaskens adresse i punkt-desimalnotasjon. For eksempel 255.255.255.0.
  • Gateway– angi gatewayens IP-adresse. En gateway er en nettverksnode som fungerer som et tilgangspunkt til et annet nettverk.
  • DNS-servere – Skriv inn en kommaseparert liste over DNS-servere som håndterer å oversette domenenavn til numeriske IP-adresser. (Opptil 4 DNS-oppføringer er tillatt.)
  • NTP-servere– Angi organisasjonens NTP-server eller en annen ekstern NTP-server som kan brukes i organisasjonen. Standard NTP-servere fungerer kanskje ikke for alle bedrifter. Du kan også bruke en kommadelt liste til å angi flere NTP-servere.

  • Distribuer alle nodene på samme subnett eller VLAN, slik at alle nodene i en klynge kan nås fra klienter i nettverket ditt for administrative formål.

Hvis du vil, kan du hoppe over konfigurasjonen av nettverksinnstillingene og følge trinnene i Konfigurere VM for hybriddatasikkerhet for å konfigurere innstillingene fra nodekonsollen.

Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 7.0. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

11

Høyreklikk på noden VM, og velg deretter Power > Power On.

Programvaren for hybrid datasikkerhet installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden.

Feilsøkingstips

Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen under første oppstart, hvor du ikke kan logge på.

Konfigurere VM for hybriddatasikkerhet

Bruk denne fremgangsmåten til å logge på VM-konsollen for hybriddatasikkerhetsnoden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA ble distribuert.

1

I VMware vSphere-klienten velger du den hybride datasikkerhetsnoden VM og velger fanen Konsoll .

VM starter opp og en melding om pålogging vises. Hvis meldingen om pålogging ikke vises, trykker du på Enter.
2

Bruk følgende standard pålogging og passord for å logge på og endre legitimasjonen:

  1. Pålogging: administrator

  2. Passord: cisco

Siden du logger på VM for første gang, må du endre administratorpassordet.

3

Hvis du allerede har konfigurert nettverksinnstillingene i Installer HDS Host OVA, hopper du over resten av denne prosedyren. Hvis ikke, velger du alternativet Rediger konfigurasjon i hovedmenyen.

4

Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke.

5

(Valgfritt) Endre vertsnavnet, domenet eller NTP-serveren(e) om nødvendig for å samsvare med nettverkspolicyen.

Du trenger ikke å angi domenet til å samsvare med domenet du brukte til å skaffe X.509-sertifikatet.

6

Lagre nettverkskonfigurasjonen og start VM på nytt slik at endringene trer i kraft.

Laste opp og montere konfigurasjons-ISO for HDS

Bruk denne fremgangsmåten til å konfigurere den virtuelle maskinen fra ISO-filen du opprettet med HDS-installasjonsverktøyet.

Før du begynner

Fordi ISO-filen innehar hovednøkkelen, bør den bare eksponeres på "trenger å vite"-basis, for tilgang for virtuelle maskiner for hybriddatasikkerhet og eventuelle administratorer som må gjøre endringer. Sørg for at bare disse administratorene har tilgang til datalageret.

1

Last opp ISO-filen fra datamaskinen:

  1. Klikk på ESXi-serveren i venstre navigasjonsrute til VMware vSphere-klienten.

  2. Klikk på Lagring i Maskinvare-listen i kategorien Konfigurasjon.

  3. Høyreklikk på datalageret for VM-ene i listen Datalagerer, og klikk på Bla gjennom datalageret.

  4. Klikk på ikonet Last opp filer, og klikk deretter på Last opp fil.

  5. Bla til plasseringen der du lastet ned ISO-filen på datamaskinen, og klikk på Åpne.

  6. Klikk på Ja for å godta advarselen om opplasting/nedlasting og lukke dialogboksen for datalager.

2

Montere ISO-fil:

  1. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

  2. Klikk på OK for å godta advarselen om begrensede redigeringsalternativer.

  3. Klikk på CD/DVD-stasjon 1, velg alternativet for montering fra en ISO-fil i datalageret, og bla til plasseringen der du lastet opp ISO-konfigurasjonsfilen.

  4. Kontroller Tilkoblet og Koble til ved strøm på.

  5. Lagre endringene og start den virtuelle maskinen på nytt.

Hva du skal gjøre nå

Hvis IT-policyen krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene har plukket opp konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.

Konfigurere HDS-noden for proxy-integrering

Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybrid datasikkerhet. Hvis du velger en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet, og feilsøke eventuelle problemer.

Før du begynner

1

Skriv inn URL-adressen for HDS-nodeoppsett https://[HDS Node IP or FQDN]/setup i en nettleser, skriv inn administratorlegitimasjonen du har konfigurert for noden, og klikk deretter på Logg på.

2

Gå til Klareringslager og proxy, og velg deretter et alternativ:

  • Ingen proxy – Standardalternativet før du integrerer en proxy. Ingen sertifikatoppdatering er nødvendig.
  • Gjennomsiktig ikke-inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse og bør ikke kreve endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
  • Gjennomsiktig inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTPS-konfigurasjonen er nødvendig på distribusjonen av hybriddatasikkerhet, men HDS-nodene trenger et rotsertifikat for å klarere proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
  • Eksplisitt proxy – Med eksplisitt proxy forteller du klienten (HDS-noder) hvilken proxy-server som skal brukes, og dette alternativet støtter flere godkjenningstyper. Når du har valgt dette alternativet, må du angi følgende informasjon:

    1. Proxy-IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

    3. Proxy Protocol – Velg http (viser og kontrollerer alle forespørsler som mottas fra klienten) eller https (gir en kanal til serveren, og klienten mottar og validerer serverens sertifikat). Velg et alternativ basert på hva proxy-serveren støtter.

    4. Godkjenningstype– velg blant følgende godkjenningstyper:

      • Ingen – Ingen ytterligere godkjenning er nødvendig.

        Tilgjengelig for HTTP- eller HTTPS-proxyer.

      • Grunnleggende – Brukes for en HTTP-brukeragent til å oppgi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

        Tilgjengelig for HTTP- eller HTTPS-proxyer.

        Hvis du velger dette alternativet, må du også angi brukernavn og passord.

      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

        Kun tilgjengelig for HTTPS-proxyer.

        Hvis du velger dette alternativet, må du også angi brukernavn og passord.

Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en eksplisitt HTTP-proxy med grunnleggende godkjenning eller en eksplisitt HTTPS-proxy.

3

Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen.

Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på chevron-pilen ved navnet på sertifikatutstederen for å få mer informasjon, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt.

4

Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen.

Hvis tilkoblingstesten mislykkes, får du en feilmelding som viser årsaken og hvordan du kan løse problemet.

Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne tilstanden forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene og ser Slå av blokkert ekstern DNS-oppløsningsmodus.

5

Etter at tilkoblingstesten er bestått, bare for eksplisitt proxy satt til https, slår du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen tar 15 sekunder før den trer i kraft.

6

Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en eksplisitt HTTP-proxy), les ledeteksten og klikk deretter på Installer hvis du er klar.

Noden starter på nytt innen noen få minutter.

7

Etter at noden har startet på nytt, logger du på igjen om nødvendig og åpner deretter Oversikt -siden for å sjekke tilkoblingskontrollene for å sikre at alle er i grønn status.

Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det er tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen.

Registrer den første noden i klyngen

Denne oppgaven tar den generiske noden du opprettet i Konfigurer VM for hybrid datasikkerhet, registrerer noden i Webex-skyen og gjør den om til en hybrid datasikkerhetsnode.

Når du registrerer din første node, oppretter du en klynge som noden er tilordnet til. En klynge inneholder én eller flere noder som er distribuert for å gi redundans.

Før du begynner

  • Når du begynner å registrere en node, må du fullføre den innen 60 minutter, eller du må starte på nytt.

  • Sørg for at eventuelle popup-blokkere i nettleseren er deaktivert, eller at du tillater et unntak for admin.webex.com.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du kortet for hybriddatasikkerhet og klikker på Konfigurer.

4

Klikk på Legg til en ressurs på siden som åpnes.

5

I det første feltet i Legg til en node -kortet skriver du inn et navn på klyngen du vil tilordne hybriddatasikkerhetsnoden til.

Vi anbefaler at du navngir en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

6

I det andre feltet skriver du inn den interne IP-adressen eller det fullstendige domenenavnet (FQDN) til noden og klikker på Legg til nederst på skjermen.

Denne IP-adressen eller FQDN skal samsvare med IP-adressen eller vertsnavnet og domenet du brukte i Konfigurere VM for hybriddatasikkerhet.

Det vises en melding som angir at du kan registrere noden din til Webex.
7

Klikk på Gå til node.

Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelse til Webex-organisasjonen din for å få tilgang til noden din.

8

Merk av i avkrysningsboksen Gi tilgang til din hybride datasikkerhetsnode , og klikk deretter på Fortsett.

Kontoen din er validert, og meldingen «Registreringen er fullført» indikerer at noden din nå er registrert i Webex-skyen.
9

Klikk på koblingen eller lukk fanen for å gå tilbake til Partner Hub Hybrid Data Security-siden.

På siden Hybriddatasikkerhet vises den nye klyngen som inneholder noden du registrerte, under Ressurser -fanen. Noden vil automatisk laste ned den nyeste programvaren fra skyen.

Opprett og registrer flere noder

Hvis du vil legge til flere noder i klyngen, oppretter du ganske enkelt flere VM-er og monterer den samme ISO-konfigurasjonsfilen og registrerer noden. Vi anbefaler at du har minst 3 noder.

Før du begynner

  • Når du begynner å registrere en node, må du fullføre den innen 60 minutter, eller du må starte på nytt.

  • Sørg for at eventuelle popup-blokkere i nettleseren er deaktivert, eller at du tillater et unntak for admin.webex.com.

1

Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA.

2

Konfigurer den første konfigurasjonen på den nye VM-en, og gjenta trinnene i Konfigurer VM for hybriddatasikkerhet.

3

På den nye VM gjentar du trinnene i Last opp og monter HDS-konfigurasjons-ISO.

4

Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrasjon etter behov for den nye noden.

5

Registrer noden.

  1. I https://admin.webex.com velger du Tjenester fra menyen til venstre på skjermen.

  2. Finn kortet for hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

    Siden Ressurser for hybriddatasikkerhet vises.

  3. Den nylig opprettede klyngen vises på Ressurser -siden.

  4. Klikk på klyngen for å vise nodene som er tilordnet klyngen.

  5. Klikk på Legg til en node til høyre på skjermen.

  6. Skriv inn den interne IP-adressen eller fullt kvalifisert domenenavn (FQDN) til noden, og klikk på Legg til.

    En side åpnes med en melding om at du kan registrere noden din i Webex-skyen. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi organisasjonen tillatelse til å få tilgang til noden din.

  7. Merk av i avkrysningsboksen Gi tilgang til din hybride datasikkerhetsnode , og klikk deretter på Fortsett.

    Kontoen din er validert, og meldingen «Registreringen er fullført» indikerer at noden din nå er registrert i Webex-skyen.

  8. Klikk på koblingen eller lukk fanen for å gå tilbake til Partner Hub Hybrid Data Security-siden.

    Node lagt til popup-melding vises også nederst på skjermen i Partner Hub.

    Noden din er registrert.

Administrere leietakerorganisasjoner for hybriddatasikkerhet for flere leietakere

Aktivere HDS for flere leietakere på Partner Hub

Denne oppgaven sikrer at alle brukere av kundeorganisasjonene kan begynne å bruke HDS for lokale krypteringsnøkler og andre sikkerhetstjenester.

Før du begynner

Sørg for at du har fullført konfigureringen av HDS-klyngen for flere leietakere med det nødvendige antallet noder.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Rediger innstillinger.

4

Klikk på Aktiver HDS på kortet HDS-status .

Legg til leietakerorganisasjoner i Partner Hub

I denne oppgaven tilordner du kundeorganisasjoner til din hybride datasikkerhetsklynge.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

Finn hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

4

Klikk på klyngen du vil at en kunde skal tilordnes til.

5

Gå til fanen Tilordnede kunder .

6

Klikk på Legg til kunder.

7

Velg kunden du vil legge til, fra rullegardinmenyen.

8

Klikk på Legg til, kunden blir lagt til i klyngen.

9

Gjenta trinn 6 til 8 for å legge til flere kunder i klyngen.

10

Klikk på Ferdig nederst på skjermen når du har lagt til kundene.

Hva du skal gjøre nå

Kjør HDS-installasjonsverktøyet som beskrevet i Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-installasjonsverktøyet for å fullføre installasjonsprosessen.

Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-installasjonsverktøyet

Før du begynner

Tilordne kunder til riktig klynge som beskrevet i Legg til leietakerorganisasjoner i Partner Hub. Kjør HDS-installasjonsverktøyet for å fullføre installasjonsprosessen for de nylig tillagte kundeorganisasjonene.

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, for eksempel disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i godkjenningspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du distribusjonen av PostgreSQL eller SQL Server for TLS.

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

Klikk på Ja på siden ISO-import.

10

Velg ISO-filen i nettleseren og last den opp.

Sørg for tilkobling til databasen din for å utføre CMK-administrasjon.
11

Gå til fanen Leietakers CMK-administrasjon , der du finner følgende tre måter å administrere leietakers CMK-er på.

  • Opprett CMK for alle organisasjoner eller Opprett CMK – Klikk på denne knappen på banneret øverst på skjermen for å opprette CMK for alle organisasjoner som nylig er lagt til.
  • Klikk på knappen Administrer CMK-er til høyre på skjermen, og klikk på Opprett CMK-er for å opprette CMK-er for alle nylig tillagte organisasjoner.
  • Klikk på … nær CMK-administrasjonen som venter på status for en bestemt organisasjon i tabellen, og klikk på Opprett CMK for å opprette CMK for den organisasjonen.
12

Når CMK opprettes, endres statusen i tabellen fra CMK-administrasjon venter til CMK-administrert.

13

Hvis opprettelsen av CMK mislykkes, vises en feilmelding.

Fjern leietakerorganisasjoner

Før du begynner

Når de er fjernet, vil ikke brukere av kundeorganisasjoner kunne utnytte HDS for sine krypteringsbehov og vil miste alle eksisterende områder. Før du fjerner kundeorganisasjoner, må du kontakte din Cisco-partner eller kontoadministrator.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

Finn hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

4

I fanen Ressurser klikker du på klyngen du vil fjerne kundeorganisasjoner fra.

5

Klikk på Tilordnede kunder på siden som åpnes.

6

Fra listen over kundeorganisasjoner som vises, klikker du på til høyre for kundeorganisasjonen du vil fjerne, og klikker på Fjern fra klynge.

Hva du skal gjøre nå

Fullfør fjerningsprosessen ved å tilbakekalle kundeorganisasjonens CMK-er, som beskrevet i Tilbakekall CMK-er for leiere som er fjernet fra HDS.

Tilbakekall CMK-er for leiere som er fjernet fra HDS.

Før du begynner

Fjern kunder fra den aktuelle klyngen som beskrevet i Fjern leietakerorganisasjoner. Kjør HDS-installasjonsverktøyet for å fullføre fjerningsprosessen for kundeorganisasjonene som ble fjernet.

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, for eksempel disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i godkjenningspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du distribusjonen av PostgreSQL eller SQL Server for TLS.

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

Klikk på Ja på siden ISO-import.

10

Velg ISO-filen i nettleseren og last den opp.

11

Gå til fanen Leietakers CMK-administrasjon , der du finner følgende tre måter å administrere leietakers CMK-er på.

  • Tilbakekall CMK for alle organisasjoner eller Tilbakekall CMK – Klikk på denne knappen på banneret øverst på skjermen for å tilbakekalle CMK for alle organisasjoner som ble fjernet.
  • Klikk på knappen Administrer CMK-er til høyre på skjermen, og klikk på Tilbakekall CMK-er for å tilbakekalle CMK-er for alle organisasjoner som ble fjernet.
  • Klikk på i nærheten av CMK for å bli tilbakekalt status for en bestemt organisasjon i tabellen, og klikk på Tilbakekall CMK for å tilbakekalle CMK for den bestemte organisasjonen.
12

Når CMK-opphevelse er fullført, vises ikke kundeorganisasjonen lenger i tabellen.

13

Hvis CMK-tilbakekalling mislykkes, vises en feil.

Test distribusjonen av hybrid datasikkerhet

Test distribusjonen av hybrid datasikkerhet

Bruk denne fremgangsmåten til å teste scenarier for kryptering av hybriddatasikkerhet for flere leietakere.

Før du begynner

  • Konfigurer distribusjonen av hybriddatasikkerhet for flere leietakere.

  • Sørg for at du har tilgang til syslog for å bekrefte at viktige forespørsler sendes til din distribusjon av hybriddatasikkerhet for flere leietakere.

1

Nøkler for et gitt område angis av skaperen av området. Logg på Webex-appen som en av brukerne av kundeorganisasjonen, og opprett deretter et område.

Hvis du deaktiverer distribusjonen av hybriddatasikkerhet, er ikke innhold i områder som brukere oppretter, lenger tilgjengelig når de klientbufrede kopiene av krypteringsnøklene er erstattet.

2

Send meldinger til det nye området.

3

Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til distribusjonen av hybriddatasikkerhet.

  1. Hvis du vil se etter en bruker først å opprette en sikker kanal til KMS, filtrerer du på kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du bør finne en oppføring som følgende (identifikatorer forkortet for lesbarhet):
    2020-07-21 17:35:34.562 (+0000) INFORMASJON KMS [pool-14-thread-1] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Kjælebarn: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Hvis du vil se etter en bruker som ber om en eksisterende nøkkel fra KMS, filtrerer du på kms.data.method=retrieve og kms.data.type=KEY:

    Du bør finne en oppføring som:
    2020-07-21 17:44:19.889 (+0000) INFORMASJON KMS [pool-14-thread-31] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Hvis du vil se etter en bruker som ber om å opprette en ny KMS-nøkkel, filtrerer du på kms.data.method=create og kms.data.type=KEY_COLLECTION:

    Du bør finne en oppføring som:
    2020-07-21 17:44:21.975 (+0000) INFORMASJON KMS [pool-14-thread-33] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Hvis du vil se etter en bruker som ber om opprettelse av et nytt KMS-ressursobjekt (KRO) når et område eller en annen beskyttet ressurs opprettes, filtrerer du på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

    Du bør finne en oppføring som: 
    2020-07-21 17:44:22.808 (+0000) INFORMASJON KMS [pool-15-thread-1] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåk sikkerhets helse for hybriddata

En statusindikator i Partner Hub viser deg om alt er bra med distribusjonen av hybriddatasikkerhet for flere leietakere. For mer proaktive varsler, registrer deg for e-postvarsler. Du blir varslet når det er alarmer eller programvareoppgraderinger som påvirker tjenesten.
1

I Partner Hub velger du Tjenester fra menyen til venstre på skjermen.

2

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Rediger innstillinger.

Siden Innstillinger for hybriddatasikkerhet vises.
3

Skriv inn én eller flere e-postadresser atskilt med komma i delen E-postvarsler, og trykk på Enter.

Administrer HDS-distribusjonen din

Administrer HDS-distribusjon

Bruk oppgavene som er beskrevet her for å administrere distribusjonen av hybriddatasikkerhet.

Angi tidsplan for klyngeoppgradering

Programvareoppgraderinger for hybrid datasikkerhet utføres automatisk på klyngenivå, noe som sikrer at alle noder alltid kjører samme programvareversjon. Oppgraderinger utføres i henhold til oppgraderingsplanen for klyngen. Når en programvareoppgradering blir tilgjengelig, har du muligheten til å oppgradere klyngen manuelt før det planlagte oppgraderingstidspunktet. Du kan angi en bestemt oppgraderingsplan eller bruke standardplanen kl. 3:00 AM Daily USA: Amerika/Los Angeles. Du kan også velge å utsette en kommende oppgradering, om nødvendig.

Slik angir du oppgraderingsplanen:

1

Logg på Partner Hub.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Konfigurer

4

Velg klyngen på siden Hybrid Data Security Resources.

5

Klikk på fanen Klyngeinnstillinger .

6

Velg klokkeslett og tidssone for oppgraderingsplanen på siden Klyngeinnstillinger under Oppgraderingsplan.

Merk: Under tidssonen vises neste tilgjengelige oppgraderingsdato og -klokkeslett. Du kan utsette oppgraderingen til neste dag ved å klikke på Utsett med 24 timer.

Endre nodekonfigurasjonen

Av og til må du kanskje endre konfigurasjonen av den hybride datasikkerhetsnoden av en grunn som:

  • Endring av x.509-sertifikater på grunn av utløp eller andre årsaker.

    Vi støtter ikke endring av CN-domenenavnet for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.

  • Oppdaterer databaseinnstillinger for å endre til en kopi av PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt måte. Start en ny distribusjon av hybriddatasikkerhet for å bytte databasemiljøet.

  • Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.

Av sikkerhetshensyn bruker Hybrid Data Security også passord for tjenestekontoer som har en levetid på ni måneder. Når HDS-installasjonsverktøyet har generert disse passordene, distribuerer du dem til hver av HDS-nodene i ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløpsdato, mottar du et varsel fra Webex-teamet om å tilbakestille passordet for maskinkontoen din. (E-posten inneholder teksten "Bruk maskinkontoens API til å oppdatere passordet.") Hvis passordene dine ikke er utløpt ennå, gir verktøyet deg to alternativer:

  • Myk tilbakestilling– De gamle og de nye passordene fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.

  • Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.

Hvis passordene utløper uten tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.

Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.

Før du begynner

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fullstendige partneradministratorrettigheter.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i 1.e. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i godkjenningspolicyen.

1

Kjør HDS-installasjonsverktøyet ved hjelp av Docker på en lokal maskin.

  1. På maskinens kommandolinje angir du riktig kommando for miljøet:

    I vanlige miljøer:

    docker rmi ciscocitg/hds-oppsett:stabil

    I FedRAMP-miljøer:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

  2. Skriv inn følgende for å logge på Docker-bilderegisteret:

    innlogging for dokkers brukerstøtte

  3. Skriv inn denne hashen når du blir bedt om passord:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Last ned det nyeste stabile bildet for miljøet ditt:

    I vanlige miljøer:

    hengslet trekk ciscocitg/hds-oppsett:stabil

    I FedRAMP-miljøer:

    hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil

    Sørg for at du bruker det nyeste installasjonsverktøyet for denne prosedyren. Versjoner av verktøyet som er opprettet før 22. februar 2018, har ikke skjermbildene for tilbakestilling av passord.

  5. Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

    • I vanlige miljøer uten proxy:

      docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

    • I vanlige miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I vanlige miljøer med HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljøer uten proxy:

      docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

    • I FedRAMP-miljøer med HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Når containeren kjører, ser du "Express server lytter på port 8080."

  6. Bruk en nettleser til å koble til localhost, http://127.0.0.1:8080.

    Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

  7. Når du blir bedt om det, skriver du inn påloggingslegitimasjonen til Partner Hub-kunden og klikker deretter på Godta for å fortsette.

  8. Importer gjeldende ISO-konfigurasjonsfil.

  9. Følg instruksjonene for å fullføre verktøyet og laste ned den oppdaterte filen.

    Hvis du vil slå av installasjonsverktøyet, skriver du inn CTRL+C.

  10. Opprett en sikkerhetskopi av den oppdaterte filen i et annet datasenter.

2

Hvis du bare kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den ved hjelp av den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, kan du se Opprette og registrere flere noder.

  1. Installer HDS-verten OVA.

  2. Sett opp HDS VM.

  3. Monter den oppdaterte konfigurasjonsfilen.

  4. Registrer den nye noden i Partner Hub.

3

Montere ISO-filen for eksisterende HDS-noder som kjører den eldre konfigurasjonsfilen. Utfør følgende prosedyre på hver node igjen, og oppdater hver node før du slår av neste node:

  1. Slå av den virtuelle maskinen.

  2. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

  3. Klikk på CD/DVD-stasjon 1, velg alternativet for montering fra en ISO-fil, og bla til plasseringen der du lastet ned den nye ISO-konfigurasjonsfilen.

  4. Merk av for Koble til ved strøm på.

  5. Lagre endringene og strøm på den virtuelle maskinen.

4

Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen.

Slå av blokkert ekstern DNS-oppløsningsmodus

Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modus for blokkert ekstern DNS-oppløsning.

Hvis nodene dine kan løse offentlige DNS-navn gjennom interne DNS-servere, kan du slå av denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.

Før du begynner

Sørg for at dine interne DNS-servere kan løse offentlige DNS-navn, og at nodene dine kan kommunisere med dem.
1

Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/oppsett, for eksempel https://192.0.2.0/setup), angi administratorlegitimasjonen du har konfigurert for noden, og klikk deretter på Logg på.

2

Gå til Oversikt (standardsiden).

Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja.

3

Gå til siden Klareringslager og proxy .

4

Klikk på Kontroller proxy-tilkobling.

Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og vil forbli i denne modusen. Hvis ikke, etter at du har startet noden på nytt og gått tilbake til Oversikt -siden, skal Blokkert ekstern DNS-oppløsning settes til Nei.

Hva du skal gjøre nå

Gjenta proxy-tilkoblingstesten på hver node i klyngen for hybriddatasikkerhet.

Fjerne en node

Bruk denne fremgangsmåten for å fjerne en hybrid datasikkerhetsnode fra Webex-skyen. Når du har fjernet noden fra klyngen, sletter du den virtuelle maskinen for å hindre ytterligere tilgang til sikkerhetsdataene dine.
1

Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuelle maskinen.

2

Fjern noden:

  1. Logg på Partner Hub, og velg deretter Tjenester.

  2. Klikk på Vis alle på kortet for hybriddatasikkerhet for å vise siden for hybriddatasikkerhetsressurser.

  3. Velg klyngen din for å vise oversiktspanelet.

  4. Klikk på noden du vil fjerne.

  5. Klikk på Avregistrer denne noden i panelet som vises til høyre

  6. Du kan også avregistrere noden ved å klikke … til høyre for noden og velge Fjern denne noden.

3

Slett VM-en i vSphere-klienten. (Høyreklikk på VM i venstre navigasjonsrute, og klikk på Slett.)

Hvis du ikke sletter VM-en, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke VM til å få tilgang til sikkerhetsdataene dine.

Katastrofegjenoppretting ved hjelp av standbydatasenter

Den mest kritiske tjenesten som din hybride datasikkerhetsklynge tilbyr, er oppretting og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet hybriddatasikkerhet, rutes nye forespørsler om nøkkeloppretting til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.

Fordi klyngen utfører den kritiske funksjonen med å levere disse nøklene, er det viktig at klyngen forblir i drift og at riktige sikkerhetskopier opprettholdes. Tap av hybriddatasikkerhetsdatabasen eller konfigurasjons-ISO som brukes for skjemaet, vil føre til UGJENOPPRETTELIG TAP av kundeinnhold. Følgende fremgangsmåter er obligatoriske for å forhindre et slikt tap:

Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenteret blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til standbydatasenteret.

Før du begynner

Avregistrer alle noder fra Partner Hub som nevnt i Fjern en node. Bruk den nyeste ISO-filen som ble konfigurert mot nodene i klyngen som tidligere var aktiv, til å utføre failover-prosedyren som er nevnt nedenfor.
1

Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-verter.

2

Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne.

3

Ta en sikkerhetskopi av ISO-filen på ditt lokale system. Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer.

4

Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

5

Klikk på Rediger innstillinger >CD/DVD-stasjon 1 og velg ISO-fil for datalager.

Kontroller at Tilkoblet og Koble til ved påslått er merket av slik at oppdaterte konfigurasjonsendringer kan tre i kraft etter at nodene er startet.

6

Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 15 minutter.

7

Registrer noden i Partner Hub. Se Registrer den første noden i klyngen.

8

Gjenta prosessen for hver node i standbydatasenteret.

Hva du skal gjøre nå

Hvis det primære datasenteret blir aktivt igjen etter failover, avregistrerer du nodene i standby-datasenteret og gjentar prosessen med å konfigurere ISO og registrere noder i det primære datasenteret som nevnt ovenfor.

(Valgfritt) Fjern ISO etter HDS-konfigurasjon

Standard HDS-konfigurasjon kjøres med ISO-montert. Men noen kunder foretrekker ikke å forlate ISO-filer kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-nodene har tatt opp den nye konfigurasjonen.

Du bruker fortsatt ISO-filene til å foreta konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO gjennom installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en igjen med denne fremgangsmåten.

Før du begynner

Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.

1

Slå av en av HDS-nodene dine.

2

Velg HDS-noden i vCenter Server Appliance.

3

Velg Rediger innstillinger > CD/DVD-stasjon og fjern merket for ISO-fil for datalager.

4

Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 20 minutter.

5

Gjenta for hver HDS-node i sin tur.

Feilsøke hybrid datasikkerhet

Vis varsler og feilsøking

En distribusjon av hybriddatasikkerhet anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller klyngen fungerer så sakte at forespørslene blir tidsavbrutt. Hvis brukere ikke kan nå din hybride datasikkerhetsklynge, opplever de følgende symptomer:

  • Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)

  • Meldinger og områdetitler kan ikke dekrypteres for:

    • Nye brukere lagt til i et område (kan ikke hente nøkler)

    • Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)

  • Eksisterende brukere i et område vil fortsette å kjøre vellykket så lenge klientene deres har en hurtigbuffer med krypteringsnøklene

Det er viktig at du overvåker den hybride datasikkerhetsklyngen riktig og adresserer eventuelle varsler umiddelbart for å unngå tjenesteavbrudd.

Varsler

Hvis det er et problem med oppsettet av hybriddatasikkerhet, viser Partner Hub varsler til organisasjonens administrator og sender e-post til den konfigurerte e-postadressen. Varslene dekker mange vanlige scenarier.

Tabell 1. Vanlige problemer og fremgangsmåten for å løse dem

Varsel

Handling

Feil ved tilgang til lokal database.

Se etter databasefeil eller lokale nettverksproblemer.

Feil ved lokal databasetilkobling.

Kontroller at databaseserveren er tilgjengelig, og at riktig tjenestekontolegitimasjon ble brukt i nodekonfigurasjonen.

Feil ved tilgang til skytjeneste.

Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling.

Fornye registrering av skytjeneste.

Registrering til skytjenester ble avbrutt. Fornyelse av registrering pågår.

Registrering av skytjeneste avbrutt.

Registrering til skytjenester avsluttet. Tjenesten er stengt.

Tjenesten er ikke aktivert ennå.

Aktiver HDS i Partner Hub.

Konfigurert domene samsvarer ikke med serversertifikatet.

Kontroller at serversertifikatet samsvarer med det konfigurerte tjenesteaktiveringsdomenet.

Den mest sannsynlige årsaken er at sertifikatets CN nylig ble endret og nå er forskjellig fra CN som ble brukt under den første installasjonen.

Kunne ikke autentisere seg til skytjenester.

Sjekk for nøyaktighet og mulig utløp av legitimasjon for tjenestekontoen.

Kunne ikke åpne lokal nøkkelbutikkfil.

Kontroller integritet og passordnøyaktighet på den lokale nøkkelbutikkfilen.

Det lokale serversertifikatet er ugyldig.

Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans.

Kan ikke legge ut måledata.

Kontroller lokal nettverkstilgang til eksterne skytjenester.

/media/configdrive/hds-katalog finnes ikke.

Kontroller konfigurasjonen av ISO-monteringen på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å monteres ved omstart, og at den monteres.

Oppsett av leietakerorganisasjon er ikke fullført for de tilførte organisasjonene

Fullfør oppsettet ved å opprette CMK-er for nylig tillagte leietakerorganisasjoner ved hjelp av HDS-installasjonsverktøyet.

Oppsett av leietakerorganisasjon er ikke fullført for fjernede organisasjoner

Fullfør oppsettet ved å tilbakekalle CMK-er for leietakerorganisasjoner som ble fjernet ved hjelp av HDS-installasjonsverktøyet.

Feilsøke hybrid datasikkerhet

Bruk følgende generelle retningslinjer når du feilsøker problemer med hybriddatasikkerhet.
1

Se gjennom Partner Hub for eventuelle varsler og fikse eventuelle elementer du finner der. Se bildet nedenfor for referanse.

2

Se gjennom syslog-serverens utdata for aktivitet fra distribusjonen av hybriddatasikkerhet. Filtrer etter ord som "Advarsel" og "Feil" for å hjelpe til med feilsøking.

3

Kontakt Ciscos kundestøtte.

Andre merknader

Kjente problemer for hybrid datasikkerhet

  • Hvis du avslutter klyngen for hybriddatasikkerhet (ved å slette den i Partner Hub eller ved å avslutte alle noder), mister konfigurasjons-ISO-filen eller mister tilgangen til nøkkelbutikkdatabasen, kan ikke Webex-appbrukere i kundeorganisasjoner lenger bruke områder under Personer-listen sin som ble opprettet med nøkler fra KMS. Vi har for øyeblikket ingen løsning eller løsning på dette problemet, og vi oppfordrer deg til ikke å avslutte HDS-tjenestene når de håndterer aktive brukerkontoer.

  • En klient som har en eksisterende ECDH-tilkobling til en KMS opprettholder denne tilkoblingen i en tidsperiode (sannsynligvis én time).

Bruk OpenSSL til å generere en PKCS12-fil

Før du begynner

  • OpenSSL er et verktøy som kan brukes til å lage PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi støtter ikke eller fremmer en måte fremfor en annen.

  • Hvis du velger å bruke OpenSSL, tilbyr vi denne prosedyren som en veiledning for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i X.509-sertifikatkrav. Forstå disse kravene før du fortsetter.

  • Installer OpenSSL i et støttet miljø. Se https://www.openssl.org for programvare og dokumentasjon.

  • Opprett en privat nøkkel.

  • Start denne prosedyren når du mottar serversertifikatet fra Certificate Authority (CA).

1

Når du mottar serversertifikatet fra din CA, lagrer du det som hdsnode.pem.

2

Vis sertifikatet som tekst og bekreft detaljene.

openssl x509 -tekst -noout -i hdsnode.pem

3

Bruk et tekstredigeringsprogram til å opprette en sertifikatbuntfil kalt hdsnode-bundle.pem. Pakkefilen må inneholde serversertifikatet, eventuelle mellomliggende CA-sertifikater og rot-CA-sertifikatene i formatet nedenfor:

-----start sertifikat------ ### Serversertifikat ### -----end sertifikat------------ start sertifikat----- ### Mellomliggende CA-sertifikat. ### -----end sertifikat------------ start sertifikat----- ### Rot-CA-sertifikat. ### -----end sertifikat-----

4

Opprett .p12-filen med det vennlige navnet kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontroller serversertifikatdetaljene.

  1. openssl pkcs12 -i eno-dsnode.p12

  2. Skriv inn et passord når du blir bedt om å kryptere den private nøkkelen slik at den blir oppført i utdata. Deretter bekrefter du at den private nøkkelen og det første sertifikatet inkluderer linjene vennligeName: kms-privat nøkkel.

    Eksempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Angi importpassord: MAC bekreftet OK Bag-attributter friendlyName: kms-privat nøkkel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nøkkelattributter:  Angi PEM-passfrase: Bekreft – angi PEM-passfrase: -----BEGIN KRYPTERT PRIVAT NØKKEL-----  -----END KRYPTERT PRIVAT NØKKEL----- Bag Attributter friendlyName: kms-privat nøkkel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=La oss kryptere/CN=La oss kryptere autoritet X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Posens attributter friendlyName: CN=La oss kryptere myndighet X3,O=La oss kryptere,C=US subject=/C=US/O=La oss kryptere myndighet X3 utsteder=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE------

Hva du skal gjøre nå

Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet. Du bruker hdsnode.p12 -filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-verter.

Du kan bruke disse filene på nytt for å be om et nytt sertifikat når det opprinnelige sertifikatet utløper.

Trafikk mellom HDS-nodene og skyen

Utgående metrikkinnsamlingstrafikk

Nodene for hybriddatasikkerhet sender visse målinger til Webex-skyen. Disse inkluderer systemmålinger for maks. heap, heap brukt, CPU-belastning og antall tråder, målinger på synkrone og asynkrone tråder, målinger på varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller lengde på en forespørselskø, målinger på datalageret og krypteringstilkoblingsmålinger. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).

Innkommende trafikk

Nodene for hybriddatasikkerhet mottar følgende typer innkommende trafikk fra Webex-skyen:

  • Krypteringsforespørsler fra klienter som rutes av krypteringstjenesten

  • Oppgraderinger til nodeprogramvaren

Konfigurere Squid-proxyer for hybriddatasikkerhet

Websocket kan ikke koble til via Squid-proxy

Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av websocket-tilkoblinger (wss:) som hybriddatasikkerhet krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss: trafikk for riktig drift av tjenestene.

Squid 4 og 5

Legg til on_unsupported_protocol direktivet i squid.conf:

on_unsupported_protocol tunnel alle

Squid 3.5.27

Vi testet hybriddatasikkerhet med følgende regler lagt til i squid.conf. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.

acl wssMercuryConnection ssl::server_name_regex mercury-tilkobling ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump titte step1 alle ssl_bump stirre step2 alle ssl_bump bump step3 alle

Ny og endret informasjon

Ny og endret informasjon

Denne tabellen dekker nye funksjoner eller funksjonalitet, endringer i eksisterende innhold og eventuelle store feil som ble løst i distribusjonsveiledningen for hybriddatasikkerhet for flere leietakere.

Dato

Endringer gjort

15. januar 2025

Lagt til begrensninger for hybriddatasikkerhet for flere leietakere.

08. januar 2025

La til en merknad i Utfør innledende konfigurering og nedlasting av installasjonsfiler som sier at det er et viktig trinn i installasjonsprosessen å klikke på Konfigurer på HDS-kortet i Partner Hub.

07. januar 2025

Oppdaterte krav til virtuell vert, oppgaveflyt for distribusjon av hybrid datasikkerhet og Installer HDS Host OVA for å vise nye krav til ESXi 7.0.

13. desember 2024

Først publisert.

Deaktivere hybriddatasikkerhet for flere leietakere

Oppgaveflyt for deaktivering av HDS for flere leietakere

Følg disse trinnene for å deaktivere HDS for flere leietakere fullstendig.

Før du begynner

Denne oppgaven skal bare utføres av en fullstendig partneradministrator.
1

Fjern alle kunder fra alle klyngene dine, som nevnt i Fjern leietakerorganisasjoner.

2

Tilbakekall CMK-er for alle kunder, som nevnt i Tilbakekall CMK-er for leiere som er fjernet fra HDS..

3

Fjern alle noder fra alle klyngene dine, som nevnt i Fjern en node.

4

Slett alle klyngene dine fra Partner Hub ved hjelp av én av følgende to metoder.

  • Klikk på klyngen du vil slette, og velg Slett denne klyngen øverst til høyre på oversiktssiden.
  • På Ressurser-siden klikker du på … til høyre for en klynge, og velger Fjern klynge.
5

Klikk på fanen Innstillinger på oversiktssiden for hybriddatasikkerhet, og klikk på Deaktiver HDS på HDS-statuskortet.

Kom i gang med hybriddatasikkerhet for flere leietakere

Oversikt over hybriddatasikkerhet for flere leietakere

Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er innholdskryptering fra ende-til-ende, aktivert av Webex-appklienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografiske nøkler som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.

Som standard får alle Webex-appkunder ende-til-ende-kryptering med dynamiske nøkler lagret i skyen KMS, i Ciscos sikkerhetsområde. Hybrid Data Security flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, så ingen andre enn deg har nøklene til ditt krypterte innhold.

Hybriddatasikkerhet med flere leietakere gjør det mulig for organisasjoner å utnytte HDS gjennom en klarert lokal partner, som kan fungere som tjenesteleverandør og administrere lokal kryptering og andre sikkerhetstjenester. Dette oppsettet gjør det mulig for partnerorganisasjonen å ha full kontroll over distribusjon og administrasjon av krypteringsnøkler og sikrer at brukerdata fra kundeorganisasjoner er trygge mot ekstern tilgang. Partnerorganisasjoner setter opp HDS-forekomster og oppretter HDS-klynger etter behov. Hver forekomst kan støtte flere kundeorganisasjoner i motsetning til en vanlig HDS-distribusjon som er begrenset til én enkelt organisasjon.

Selv om partnerorganisasjoner har kontroll over distribusjon og administrasjon, har de ikke tilgang til data og innhold som genereres av kunder. Denne tilgangen er begrenset til kundeorganisasjoner og deres brukere.

Dette gjør det også mulig for mindre organisasjoner å utnytte HDS, siden tjeneste for nøkkeladministrasjon og sikkerhetsinfrastruktur som datasentre eies av den klarerte lokale partneren.

Hvordan hybriddatasikkerhet for flere leietakere gir datasuverenitet og datakontroll

  • Brukergenerert innhold er beskyttet mot ekstern tilgang, for eksempel skytjenesteleverandører.
  • Lokale klarerte partnere administrerer krypteringsnøklene til kunder de allerede har etablert relasjoner med.
  • Alternativ for lokal teknisk støtte, hvis den leveres av partneren.
  • Støtter innhold i møter, meldinger og anrop.

Dette dokumentet er ment å hjelpe partnerorganisasjoner med å konfigurere og administrere kunder under et hybriddatasikkerhetssystem for flere leietakere.

Begrensninger for hybriddatasikkerhet for flere leietakere

  • Partnerorganisasjoner kan ikke ha noen eksisterende HDS-distribusjon aktiv i Control Hub.
  • Leier- eller kundeorganisasjoner som ønsker å bli administrert av en partner, må ikke ha noen eksisterende HDS-distribusjon i Control Hub.
  • Når Multi-Tenant HDS er distribuert av partneren, begynner alle brukere av kundeorganisasjoner samt brukere av partnerorganisasjonen å bruke Multi-Tenant HDS for sine krypteringstjenester.

    Partnerorganisasjonen og kundeorganisasjonene de administrerer, vil være på samme HDS-distribusjon for flere leietakere.

    Partnerorganisasjonen vil ikke lenger bruke sky-KMS etter at multi-tenant HDS er distribuert.

  • Det finnes ingen mekanisme for å flytte nøkler tilbake til Cloud KMS etter en HDS-distribusjon.
  • For øyeblikket kan hver HDS-distribusjon for flere leietakere bare ha én klynge, med flere noder under den.
  • Administratorroller har visse begrensninger. Se avsnittet nedenfor for detaljer.

Roller i hybriddatasikkerhet for flere leietakere

  • Fullstendig partneradministrator – Kan administrere innstillinger for alle kunder som partneren administrerer. Kan også tilordne administratorroller til eksisterende brukere i organisasjonen og tilordne bestemte kunder som skal administreres av partneradministratorer.
  • Partneradministrator – Kan administrere innstillinger for kunder som administratoren har klargjort, eller som er tilordnet brukeren.
  • Fullverdig administrator – Administrator for partnerorganisasjonen som er autorisert til å utføre oppgaver som å endre organisasjonsinnstillinger, administrere lisenser og tilordne roller.
  • Oppsett og administrasjon av HDS med flere leietakere fra ende til ende for alle kundeorganisasjoner – fullstendig partneradministrator og fullstendige administratorrettigheter kreves.
  • Administrasjon av tilordnede leietakerorganisasjoner – Partneradministrator og fullstendige administratorrettigheter kreves.

Sikkerhetsområde arkitektur

Webex-skyarkitekturen skiller forskjellige typer tjenester inn i separate områder, eller klareringsdomener, som vist nedenfor.

Områder for separasjon (uten hybrid datasikkerhet)

For å forstå hybrid datasikkerhet ytterligere, la oss først se på dette rene skytilfellet, der Cisco leverer alle funksjonene i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan være direkte korrelert med sine personopplysninger, for eksempel e-postadresse, er logisk og fysisk adskilt fra sikkerhetsområdet i datasenter B. Begge er i sin tur adskilt fra området der kryptert innhold lagres, i datasenter C.

I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og er godkjent med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:

  1. Klienten oppretter en sikker tilkobling til nøkkeladministrasjonstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikre tilkoblingen bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en hovednøkkel AES-256.

  2. Meldingen krypteres før den forlater klienten. Klienten sender det til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe i fremtidige søk etter innholdet.

  3. Den krypterte meldingen sendes til samsvarstjenesten for kontroll av samsvar.

  4. Den krypterte meldingen lagres i lagringsområdet.

Når du distribuerer hybrid datasikkerhet, flytter du sikkerhetsområdefunksjonene (KMS, indeksering og samsvar) til det lokale datasenteret. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos områder.

Samarbeide med andre organisasjoner

Brukere i organisasjonen kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen din (fordi det ble opprettet av en av brukerne), sender KMS nøkkelen til klienten via en ECDH-sikret kanal. Når en annen organisasjon eier nøkkelen for området, sender KMS imidlertid forespørselen ut til Webex-skyen via en egen ECDH-kanal for å hente nøkkelen fra den aktuelle KMS, og returnerer deretter nøkkelen til brukeren din på den opprinnelige kanalen.

KMS-tjenesten som kjører på Org A, validerer tilkoblingene til KMS i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet hvis du vil ha mer informasjon om hvordan du genererer et x.509-sertifikat som skal brukes med distribusjonen av hybriddatasikkerhet for flere leietakere.

Forventninger til distribusjon av hybrid datasikkerhet

En distribusjon av hybrid datasikkerhet krever betydelig forpliktelse og bevissthet om risikoene som følger med å eie krypteringsnøkler.

For å distribuere hybrid datasikkerhet må du oppgi:

Fullstendig tap av enten konfigurasjons-ISO-en du bygger for hybriddatasikkerhet eller databasen du leverer, vil føre til tap av nøklene. Nøkkeltap hindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:

  • Administrer sikkerhetskopiering og gjenoppretting av databasen og konfigurasjons-ISO.

  • Vær forberedt på å utføre rask katastrofegjenoppretting hvis en katastrofe oppstår, for eksempel databasediskfeil eller datasenterkatastrofe.

Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon.

Oppsettsprosess på høyt nivå

Dette dokumentet dekker oppsettet og administrasjonen av en distribusjon av hybriddatasikkerhet for flere leietakere:

  • Konfigurere hybrid datasikkerhet – Dette inkluderer klargjøring av nødvendig infrastruktur og installering av hybrid datasikkerhetsprogramvare, bygging av en HDS-klynge, tillegging av leierorganisasjoner i klyngen og administrasjon av kundens hovednøkler (CMK-er). Dette vil gjøre det mulig for alle brukere i kundeorganisasjonene dine å bruke den hybride datasikkerhetsklyngen til sikkerhetsfunksjoner.

    Installasjons-, aktiverings- og administrasjonsfasene er beskrevet i detalj i de neste tre kapitlene.

  • Oppretthold distribusjonen av hybrid datasikkerhet – Webex-skyen gir automatisk pågående oppgraderinger. IT-avdelingen din kan gi støtte på nivå én for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke varsler på skjermen og konfigurere e-postbaserte varsler i Partner Hub.

  • Forstå vanlige varsler, feilsøkingstrinn og kjente problemer– Hvis du har problemer med å distribuere eller bruke hybriddatasikkerhet, kan det siste kapitlet i denne veiledningen og vedlegget Kjente problemer hjelpe deg med å finne og løse problemet.

Distribusjonsmodell for hybrid datasikkerhet

I bedriftens datasenter distribuerer du hybrid datasikkerhet som én klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen via sikre websockets og sikre HTTP.

Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere det virtuelle apparatet på VM-ene du leverer. Du bruker HDS-installasjonsverktøyet til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Den hybride datasikkerhetsklyngen bruker den oppgitte Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)

Distribusjonsmodell for hybrid datasikkerhet

Minimum antall noder du kan ha i en klynge, er to. Vi anbefaler minst tre per klynge. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)

Alle noder i en klynge får tilgang til samme nøkkeldatalager og loggaktivitet til samme syslog-server. Nodene selv er statsløse, og håndterer nøkkelforespørsler på rund-robin-modus, som styres av skyen.

Noder blir aktive når du registrerer dem i Partner Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.

Standby Data Center for katastrofegjenoppretting

Under distribusjonen setter du opp et sikkert standbydatasenter. I tilfelle en datasenterkatastrofe, kan du manuelt mislykkes distribusjonen til standbydatasenteret.

Før failover har datasenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-databasen, mens B har en kopi av ISO-filen med ekstra konfigurasjoner, virtuelle maskiner som er registrert i organisasjonen, og en standbydatabase. Etter failover har datasenter B aktive HDS-noder og den primære databasen, mens A har uregistrerte VM-er og en kopi av ISO-filen, og databasen er i standbymodus.
Manuell failover til standby-datasenter

Databasene til de aktive datasentrene og standbydatasentrene er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover.

De aktive nodene for hybriddatasikkerhet må alltid være i samme datasenter som den aktive databaseserveren.

Proxy-støtte

Hybrid Data Security støtter eksplisitte, gjennomsiktige inspeksjons- og ikke-inspeksjons-proxyer. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et plattformadministratorgrensesnitt på nodene for sertifikatadministrasjon og for å kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.

Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:

  • Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Trust Store & Proxy-konfigurasjonen til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.

  • Gjennomsiktig ikke-inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse og bør ikke kreve endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.

  • Gjennomsiktig tunnelering eller inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjonen er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de stoler på proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).

  • Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og godkjenningsskjema som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon på hver node:

    1. Proxy-IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

    3. Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:

      • HTTP – viser og kontrollerer alle forespørsler som klienten sender.

      • HTTPS – Gir en kanal til serveren. Klienten mottar og validerer serverens sertifikat.

    4. Godkjenningstype– velg blant følgende godkjenningstyper:

      • Ingen – Ingen ytterligere godkjenning er nødvendig.

        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

      • Grunnleggende – Brukes for en HTTP-brukeragent til å oppgi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

        Krever at du skriver inn brukernavn og passord for hver node.

      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

        Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.

        Krever at du skriver inn brukernavn og passord for hver node.

Eksempel på noder og proxy for hybriddatasikkerhet

Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og eksplisitt HTTPS-inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.

Blokkert ekstern DNS-oppløsningsmodus (eksplisitte proxy-konfigurasjoner)

Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsning-modus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.

Forbered miljøet ditt

Krav til hybriddatasikkerhet for flere leietakere

Krav til Cisco Webex-lisens

Slik distribuerer du hybriddatasikkerhet for flere leietakere:

  • Partnerorganisasjoner: Kontakt din Cisco-partner eller kontoadministrator og sørg for at funksjonen for flere leietakere er aktivert.

  • Leietakerorganisasjoner: Du må ha Pro Pack for Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker-skrivebord

Før du installerer HDS-nodene, trenger du Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig sin lisensieringsmodell. Organisasjonen din kan kreve et betalt abonnement på Docker Desktop. Hvis du vil ha mer informasjon, kan du se innlegget til Docker-bloggen, «Docker oppdaterer og utvider våre produktabonnementer».

X.509-sertifikatkrav

Sertifikatkjeden må oppfylle følgende krav:

Tabell 1. X.509-sertifikatkrav for distribusjon av hybriddatasikkerhet

Krav

Detaljer

  • Signert av en klarert sertifiseringsinstans (CA)

Som standard stoler vi på sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har et Common Name (CN) domenenavn som identifiserer din distribusjon av hybriddatasikkerhet

  • Er ikke et jokertegn

CN trenger ikke å være tilgjengelig eller en direkte vert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel hds.company.com.

CN kan ikke inneholde et * (jokertegn).

CN brukes til å bekrefte nodene for hybriddatasikkerhet til Webex-appklienter. Alle nodene for hybriddatasikkerhet i klyngen bruker det samme sertifikatet. KMS identifiserer seg selv ved hjelp av CN-domenet, ikke et domene som er definert i x.509v3 SAN-feltene.

Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN-domenenavnet.

  • Ikke-SHA1-signatur

KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjons KMS-er.

  • Formatert som en passordbeskyttet PKCS #12-fil

  • Bruk det vennlige navnet på kms-private-key for å tagge sertifikatet, privat nøkkel og eventuelle mellomliggende sertifikater som skal lastes opp.

Du kan bruke en konverter som OpenSSL til å endre sertifikatets format.

Du må angi passordet når du kjører HDS-installasjonsverktøyet.

KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifikatmyndigheter krever at utvidede nøkkelbruksbegrensninger brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.

Krav til virtuell vert

De virtuelle vertene som du vil konfigurere som Hybrid Data Security-noder i klyngen har følgende krav:

  • Minst to separate verter (3 anbefales) plassert i samme sikre datasenter

  • VMware ESXi 7.0 (eller nyere) installert og kjører.

    Du må oppgradere hvis du har en tidligere versjon av ESXi.

  • Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokalt harddiskplass per server

Krav til databaseserver

Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene oppretter databaseskjemaet når de er installert.

Det finnes to alternativer for databaseserver. Kravene til hver av dem er som følger:

Tabell 2. Databaseserverkrav etter type database

PostgreSql

Microsoft SQL Server

  • PostgreSQL 14, 15 eller 16, installert og kjører.

  • SQL Server 2016, 2017 eller 2019 (Enterprise eller Standard) installert.

    SQL Server 2016 krever Service Pack 2 og kumulativ oppdatering 2 eller nyere.

Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at det ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at det ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserveren:

PostgreSql

Microsoft SQL Server

Postgres JDBC driver 42.2.5

SQL Server JDBC driver 4.6

Denne driverversjonen støtter SQL Server Always On (Always On Failover Cluster Instances og Always On Availability Groups).

Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server

Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til Keystore-databasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:

  • HDS-nodene, Active Directory-infrastrukturen og MS SQL Server må alle synkroniseres med NTP.

  • Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.

  • DNS-serverne du leverer til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).

  • Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et tjenestehovednavn (SPN) i Active Directory. Se Registrer tjenestens hovednavn for Kerberos-tilkoblinger.

    HDS-installasjonsverktøyet, HDS-oppstartsprogrammet og lokal KMS må bruke Windows-godkjenning for å få tilgang til nøkkelbutikkdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN-en når de ber om tilgang med Kerberos-godkjenning.

Krav til ekstern tilkobling

Konfigurer brannmuren slik at den tillater følgende tilkobling for HDS-programmene:

Applikasjon

Protokoll

Port

Retning fra appen

Destinasjon

Noder for hybriddatasikkerhet

tcp

443

Utgående HTTPS og WSS

  • Webex-servere:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-verter

  • Andre URL-adresser som er oppført for hybriddatasikkerhet i tabellen Ytterligere URL-adresser for Webex-hybridtjenester med Nettverkskrav for Webex-tjenester

HDS-oppsettsverktøy

tcp

443

Utgående HTTPS

  • *.wbx2.com

  • Alle Common Identity-verter

  • hub.docker.com

Nodene for hybriddatasikkerhet fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmuren tillater de nødvendige utgående tilkoblingene til domenet-målene i tabellen ovenfor. Ingen porter skal være synlige fra Internett for tilkoblinger som går inn til nodene for hybriddatasikkerhet. I datasenteret trenger klienter tilgang til nodene for hybriddatasikkerhet på TCP-portene 443 og 22 av administrative grunner.

URL-adressene for Common Identity (CI)-vertene er områdespesifikke. Dette er de gjeldende CI-vertene:

Region

URL-adresser for Common Identity Host

Nord-Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Den europeiske union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

De forente arabiske emirater

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Krav til proxy-server

  • Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene for hybriddatasikkerhet.

    • Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).

    • Eksplisitt proxy – Squid.

      Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre opprettelsen av websocket-tilkoblinger (wss:). Hvis du vil omgå dette problemet, kan du se Konfigurere Squid-proxyer for hybriddatasikkerhet.

  • Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:

    • Ingen godkjenning med HTTP eller HTTPS

    • Grunnleggende godkjenning med HTTP eller HTTPS

    • Digest-godkjenning kun med HTTPS

  • For en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne veiledningen forteller deg hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnodene.

  • Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.

  • Proxyer som inspiserer webtrafikk kan forstyrre Web Socket-tilkoblinger. Hvis dette problemet oppstår, vil det å omgå (ikke inspisere) trafikk til wbx2.com , og ciscospark.com vil løse problemet.

Fullfør forutsetningene for hybrid datasikkerhet

Bruk denne sjekklisten til å sikre at du er klar til å installere og konfigurere den hybride datasikkerhetsklyngen.
1

Sørg for at partnerorganisasjonen din har HDS-funksjonen for flere leietakere aktivert og få legitimasjonen til en konto med fullstendig partneradministrator og fullstendige administratorrettigheter. Påse at Webex-kundeorganisasjonen er aktivert for Pro Pack for Cisco Webex Control Hub. Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen.

Kundeorganisasjoner skal ikke ha noen eksisterende HDS-distribusjon.

2

Velg et domenenavn for HDS-distribusjonen (for eksempel hds.company.com) og hent en sertifikatkjede som inneholder et X.509-sertifikat, privat nøkkel og eventuelle mellomliggende sertifikater. Sertifikatkjeden må oppfylle kravene i X.509 Sertifikatkrav.

3

Klargjør identiske virtuelle verter som du vil konfigurere som Hybrid Data Security-noder i klyngen. Du trenger minst to separate verter (3 anbefales) plassert i samme sikre datasenter, som oppfyller kravene i Krav til virtuelle verter.

4

Klargjør databaseserveren som skal fungere som nøkkeldatalager for klyngen, i henhold til Databaseserverkrav. Databaseserveren må være plassert i det sikre datasenteret med de virtuelle vertene.

  1. Opprett en database for nøkkellagring. (Du må opprette denne databasen – ikke bruk standarddatabasen. HDS-programmene oppretter databaseskjemaet når de er installert.)

  2. Samle inn detaljene som nodene skal bruke til å kommunisere med databaseserveren:

    • vertsnavnet eller IP-adressen (vert) og port

    • navnet på databasen (dbname) for nøkkellagring

    • brukernavnet og passordet til en bruker med alle rettigheter i databasen for nøkkellagring

5

For rask katastrofegjenoppretting konfigurerer du et sikkerhetskopieringsmiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet til VM-er og en sikkerhetskopidatabaseserver. Hvis for eksempel produksjonen har 3 VM-er som kjører HDS-noder, skal sikkerhetskopieringsmiljøet ha 3 VM-er.

6

Sett opp en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadressen og syslog-porten (standard er UDP 514).

7

Opprett en sikker sikkerhetskopieringspolicy for nodene for hybriddatasikkerhet, databaseserveren og syslog-verten. For å forhindre ugjenopprettelig tap av data må du som minimum sikkerhetskopiere databasen og konfigurasjonsfilen som genereres for nodene for hybriddatasikkerhet.

Fordi nodene for hybriddatasikkerhet lagrer nøklene som brukes til kryptering og dekryptering av innhold, vil manglende vedlikehold av en operativ distribusjon føre til UGJENOPPRETTELIG TAP av dette innholdet.

Webex-appklienter bufrer nøklene sine, så det kan hende at et driftsbrudd ikke er umiddelbart merkbart, men vil bli tydelig over tid. Selv om midlertidige avbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopieringer tilgjengelig) av enten databasen eller konfigurasjons-ISO-filen vil imidlertid føre til ugjenopprettbare kundedata. Operatørene av nodene for hybriddatasikkerhet forventes å opprettholde hyppige sikkerhetskopieringer av databasen og konfigurasjonsfilen, og være forberedt på å gjenoppbygge datasenteret for hybriddatasikkerhet hvis det oppstår en katastrofal feil.

8

Kontroller at brannmurkonfigurasjonen tillater tilkobling for hybriddatasikkerhetsnodene som beskrevet i Krav til ekstern tilkobling.

9

Installer Docker ( https://www.docker.com) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til det på http://127.0.0.1:8080.

Du bruker Docker-forekomsten til å laste ned og kjøre HDS-installasjonsverktøyet, som bygger den lokale konfigurasjonsinformasjonen for alle nodene for hybriddatasikkerhet. Du trenger kanskje en Docker Desktop-lisens. Se Krav til Docker Desktop for mer informasjon.

For å installere og kjøre HDS-installasjonsverktøyet må den lokale maskinen ha tilkoblingen beskrevet i Krav til ekstern tilkobling.

10

Hvis du integrerer en proxy med hybriddatasikkerhet, må du sørge for at den oppfyller kravene til proxy-serveren.

Konfigurere en klynge for hybriddatasikkerhet

Oppgaveflyt for distribusjon av hybrid datasikkerhet

Før du begynner

1

Utfør første konfigurasjon og last ned installasjonsfiler

Last ned OVA-filen til din lokale maskin for senere bruk.

2

Opprette en konfigurasjons-ISO for HDS-verter

Bruk HDS-installasjonsverktøyet til å opprette en ISO-konfigurasjonsfil for nodene for hybriddatasikkerhet.

3

Installere HDS Host OVA

Opprett en virtuell maskin fra OVA-filen og utfør første konfigurasjon, for eksempel nettverksinnstillinger.

Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 7.0. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

4

Konfigurere VM for hybriddatasikkerhet

Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA ble distribuert.

5

Laste opp og montere konfigurasjons-ISO for HDS

Konfigurer VM fra ISO-konfigurasjonsfilen du opprettet med HDS-installasjonsverktøyet.

6

Konfigurere HDS-noden for proxy-integrering

Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du hvilken type proxy du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig.

7

Registrer den første noden i klyngen

Registrer VM med Cisco Webex-skyen som en hybrid datasikkerhetsnode.

8

Opprett og registrer flere noder

Fullfør klyngeoppsettet.

9

Aktiver HDS for flere leietakere på Partner Hub.

Aktiver HDS og administrer leierorganisasjoner på Partner Hub.

Utfør første konfigurasjon og last ned installasjonsfiler

I denne oppgaven laster du ned en OVA-fil til maskinen din (ikke til serverne du konfigurerer som Hybrid Data Security-noder). Du bruker denne filen senere i installasjonsprosessen.

1

Logg på Partner Hub, og klikk deretter på Tjenester.

2

Finn kortet for hybriddatasikkerhet under Skytjenester, og klikk deretter på Konfigurer.

Å klikke på Konfigurer i Partner Hub er avgjørende for distribusjonsprosessen. Ikke fortsett med installasjonen uten å fullføre dette trinnet.

3

Klikk på Legg til en ressurs , og klikk på Last ned .OVA-fil på kortet Installer og konfigurer programvare .

Eldre versjoner av programvarepakken (OVA) vil ikke være kompatible med de nyeste oppgraderingene for hybriddatasikkerhet. Dette kan føre til problemer under oppgradering av programmet. Sørg for at du laster ned den nyeste versjonen av OVA-filen.

Du kan også laste ned OVA når som helst fra Hjelp -delen. Klikk på Innstillinger > Hjelp > Last ned programvare for hybriddatasikkerhet.

OVA-filen begynner automatisk å lastes ned. Lagre filen på en plassering på maskinen.
4

Du kan eventuelt klikke på Se distribusjonsveiledning for hybriddatasikkerhet for å sjekke om det finnes en senere versjon av denne veiledningen.

Opprette en konfigurasjons-ISO for HDS-verter

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

Før du begynner
1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

På siden ISO-import har du disse alternativene:

  • Nei– Hvis du oppretter din første HDS-node, har du ikke en ISO-fil å laste opp.
  • Ja – Hvis du allerede har opprettet HDS-noder, velger du ISO-filen din i nettleseren og laster den opp.
10

Kontroller at X.509-sertifikatet oppfyller kravene i X.509-sertifikatkrav.

  • Hvis du aldri har lastet opp et sertifikat før, laster du opp X.509-sertifikatet, skriver inn passordet og klikker på Fortsett.
  • Hvis sertifikatet er OK, klikker du på Fortsett.
  • Hvis sertifikatet har utløpt eller du vil erstatte det, velger du Nei for Fortsett å bruke HDS-sertifikatkjede og privat nøkkel fra forrige ISO?. Last opp et nytt X.509-sertifikat, skriv inn passordet, og klikk på Fortsett.
11

Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret:

  1. Velg Databasetype (PostgreSQL eller Microsoft SQL Server).

    Hvis du velger Microsoft SQL Server, får du et felt for godkjenningstype.

  2. (Kun Microsoft SQL Server ) Velg godkjenningstype:

    • Grunnleggende godkjenning: Du trenger et lokalt SQL Server-kontonavn i Brukernavn -feltet.

    • Windows-godkjenning: Du trenger en Windows-konto i formatet username@DOMAIN i Brukernavn -feltet.

  3. Skriv inn databaseserveradressen i skjemaet : eller :.

    Eksempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan bruke en IP-adresse for grunnleggende godkjenning, hvis nodene ikke kan bruke DNS til å løse vertsnavnet.

    Hvis du bruker Windows-godkjenning, må du angi et fullt kvalifisert domenenavn i formatet dbhost.example.org:1433

  4. Skriv inn Databasenavn.

  5. Skriv inn Brukernavn og Passord til en bruker med alle rettigheter i databasen for nøkkellagring.

12

Velg en TLS-databasetilkoblingsmodus:

Modus

Beskrivelse

Foretrekker TLS (standardalternativ)

HDS-noder krever ikke TLS for å koble til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøker nodene en kryptert tilkobling.

Krev TLS

HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

Krev TLS og bekreft sertifikatsignerer

Denne modusen gjelder ikke for SQL Server-databaser.

  • HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

  • Etter å ha opprettet en TLS-tilkobling, sammenligner noden signeringen av sertifikatet fra databaseserveren med sertifikatmyndigheten i Databaserotsertifikat. Hvis de ikke samsvarer, mister noden tilkoblingen.

Bruk kontrollen Databaserotsertifikat under rullegardinlisten for å laste opp rotsertifikatet for dette alternativet.

Krev TLS og bekreft sertifikatsignerer og vertsnavn

  • HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

  • Etter å ha opprettet en TLS-tilkobling, sammenligner noden signeringen av sertifikatet fra databaseserveren med sertifikatmyndigheten i Databaserotsertifikat. Hvis de ikke samsvarer, mister noden tilkoblingen.

  • Nodene bekrefter også at vertsnavnet i serversertifikatet samsvarer med vertsnavnet i feltet Databasevert og port . Navnene må samsvare nøyaktig, ellers mister noden tilkoblingen.

Bruk kontrollen Databaserotsertifikat under rullegardinlisten for å laste opp rotsertifikatet for dette alternativet.

Når du laster opp rotsertifikatet (om nødvendig) og klikker på Fortsett, tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserveren. Verktøyet bekrefter også sertifikatsigneringen og vertsnavnet, hvis aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan HDS-nodene være i stand til å etablere TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.)

13

På siden Systemlogger konfigurerer du Syslogd-serveren:

  1. Skriv inn URL-adressen til syslog-serveren.

    Hvis serveren ikke kan løses DNS fra nodene for HDS-klyngen, bruker du en IP-adresse i URL-adressen.

    Eksempel:
    udp://10.92.43.23:514 angir logging til Syslogd-verten 10.92.43.23 på UDP-port 514.

  2. Hvis du konfigurerer serveren til å bruke TLS-kryptering, merker du av for Er syslog-serveren konfigurert for SSL-kryptering?.

    Hvis du merker av i denne avmerkingsboksen, må du angi en TCP-URL, for eksempel tcp://10.92.43.23:514.

  3. Fra rullegardinlisten Velg avslutning av syslog-post velger du riktig innstilling for ISO-filen: Velg eller Newline brukes for Graylog og Rsyslog TCP

    • Null byte -- \x00

    • Newline -- \n– Velg dette alternativet for Graylog og Rsyslog TCP.

  4. Klikk på Fortsett.

14

(Valgfritt) Du kan endre standardverdien for noen parametere for databasetilkobling i Avanserte innstillinger. Generelt er denne parameteren den eneste du kanskje vil endre:

app_datasource_connection_pool_maxStørrelse: 10
15

Klikk på Fortsett på skjermen Tilbakestill passord for tjenestekontoer .

Passord for tjenestekontoen har en levetid på ni måneder. Bruk dette skjermbildet når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem til å ugyldiggjøre tidligere ISO-filer.

16

Klikk på Last ned ISO-fil. Lagre filen på et sted som er lett å finne.

17

Ta en sikkerhetskopi av ISO-filen på ditt lokale system.

Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer.

18

Hvis du vil slå av installasjonsverktøyet, skriver du inn CTRL+C.

Hva du skal gjøre nå

Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.

Vi har aldri en kopi av denne nøkkelen og kan ikke hjelpe hvis du mister den.

Installere HDS Host OVA

Bruk denne fremgangsmåten for å opprette en virtuell maskin fra OVA-filen.
1

Bruk VMware vSphere-klienten på datamaskinen for å logge på den virtuelle ESXi-verten.

2

Velg Fil > Distribuer OVF-mal.

3

I veiviseren angir du plasseringen til OVA-filen du lastet ned tidligere, og klikker deretter på Neste.

4

På siden Velg et navn og mappe skriver du inn et Virtuelt maskinnavn for noden (for eksempel «HDS_Node_1»), velger et sted der den virtuelle maskinnodedistribusjonen kan ligge, og klikker deretter på Neste.

5

På siden Velg en beregningsressurs velger du destinasjonsberegningsressursen, og klikker deretter på Neste.

En valideringskontroll kjører. Når den er ferdig, vises maldetaljene.

6

Bekreft maldetaljene, og klikk deretter på Neste.

7

Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon -siden, klikker du på 4 CPU og klikker deretter på Neste.

8

På siden Velg lagring klikker du på Neste for å godta standard diskformat og retningslinjer for lagring av VM.

9

På siden Velg nettverk velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til VM-en.

10

Konfigurer følgende nettverksinnstillinger på siden Tilpass mal :

  • Vertsnavn– angi FQDN (vertsnavn og domene) eller et enkelt ord vertsnavn for noden.

    • Du trenger ikke å angi domenet til å samsvare med domenet du brukte til å skaffe X.509-sertifikatet.

    • For å sikre vellykket registrering til skyen må du bare bruke små bokstaver i FQDN eller vertsnavnet du angir for noden. Kapitalisering støttes ikke på dette tidspunktet.

    • Den totale lengden på FQDN må ikke overstige 64 tegn.

  • IP-adresse– angi IP-adressen for nodens interne grensesnitt.

    Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke.

  • Maske– Angi nettverksmaskens adresse i punkt-desimalnotasjon. For eksempel 255.255.255.0.
  • Gateway– angi gatewayens IP-adresse. En gateway er en nettverksnode som fungerer som et tilgangspunkt til et annet nettverk.
  • DNS-servere – Skriv inn en kommaseparert liste over DNS-servere som håndterer å oversette domenenavn til numeriske IP-adresser. (Opptil 4 DNS-oppføringer er tillatt.)
  • NTP-servere– Angi organisasjonens NTP-server eller en annen ekstern NTP-server som kan brukes i organisasjonen. Standard NTP-servere fungerer kanskje ikke for alle bedrifter. Du kan også bruke en kommadelt liste til å angi flere NTP-servere.

  • Distribuer alle nodene på samme subnett eller VLAN, slik at alle nodene i en klynge kan nås fra klienter i nettverket ditt for administrative formål.

Hvis du vil, kan du hoppe over konfigurasjonen av nettverksinnstillingene og følge trinnene i Konfigurere VM for hybriddatasikkerhet for å konfigurere innstillingene fra nodekonsollen.

Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 7.0. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

11

Høyreklikk på noden VM, og velg deretter Power > Power On.

Programvaren for hybrid datasikkerhet installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden.

Feilsøkingstips

Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen under første oppstart, hvor du ikke kan logge på.

Konfigurere VM for hybriddatasikkerhet

Bruk denne fremgangsmåten til å logge på VM-konsollen for hybriddatasikkerhetsnoden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA ble distribuert.

1

I VMware vSphere-klienten velger du den hybride datasikkerhetsnoden VM og velger fanen Konsoll .

VM starter opp og en melding om pålogging vises. Hvis meldingen om pålogging ikke vises, trykker du på Enter.
2

Bruk følgende standard pålogging og passord for å logge på og endre legitimasjonen:

  1. Pålogging: administrator

  2. Passord: cisco

Siden du logger på VM for første gang, må du endre administratorpassordet.

3

Hvis du allerede har konfigurert nettverksinnstillingene i Installer HDS Host OVA, hopper du over resten av denne prosedyren. Hvis ikke, velger du alternativet Rediger konfigurasjon i hovedmenyen.

4

Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke.

5

(Valgfritt) Endre vertsnavnet, domenet eller NTP-serveren(e) om nødvendig for å samsvare med nettverkspolicyen.

Du trenger ikke å angi domenet til å samsvare med domenet du brukte til å skaffe X.509-sertifikatet.

6

Lagre nettverkskonfigurasjonen og start VM på nytt slik at endringene trer i kraft.

Laste opp og montere konfigurasjons-ISO for HDS

Bruk denne fremgangsmåten til å konfigurere den virtuelle maskinen fra ISO-filen du opprettet med HDS-installasjonsverktøyet.

Før du begynner

Fordi ISO-filen innehar hovednøkkelen, bør den bare eksponeres på "trenger å vite"-basis, for tilgang for virtuelle maskiner for hybriddatasikkerhet og eventuelle administratorer som må gjøre endringer. Sørg for at bare disse administratorene har tilgang til datalageret.

1

Last opp ISO-filen fra datamaskinen:

  1. Klikk på ESXi-serveren i venstre navigasjonsrute til VMware vSphere-klienten.

  2. Klikk på Lagring i Maskinvare-listen i kategorien Konfigurasjon.

  3. Høyreklikk på datalageret for VM-ene i listen Datalagerer, og klikk på Bla gjennom datalageret.

  4. Klikk på ikonet Last opp filer, og klikk deretter på Last opp fil.

  5. Bla til plasseringen der du lastet ned ISO-filen på datamaskinen, og klikk på Åpne.

  6. Klikk på Ja for å godta advarselen om opplasting/nedlasting og lukke dialogboksen for datalager.

2

Montere ISO-fil:

  1. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

  2. Klikk på OK for å godta advarselen om begrensede redigeringsalternativer.

  3. Klikk på CD/DVD-stasjon 1, velg alternativet for montering fra en ISO-fil i datalageret, og bla til plasseringen der du lastet opp ISO-konfigurasjonsfilen.

  4. Kontroller Tilkoblet og Koble til ved strøm på.

  5. Lagre endringene og start den virtuelle maskinen på nytt.

Hva du skal gjøre nå

Hvis IT-policyen krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene har plukket opp konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.

Konfigurere HDS-noden for proxy-integrering

Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybrid datasikkerhet. Hvis du velger en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet, og feilsøke eventuelle problemer.

Før du begynner

1

Skriv inn URL-adressen for HDS-nodeoppsett https://[HDS Node IP or FQDN]/setup i en nettleser, skriv inn administratorlegitimasjonen du har konfigurert for noden, og klikk deretter på Logg på.

2

Gå til Klareringslager og proxy, og velg deretter et alternativ:

  • Ingen proxy – Standardalternativet før du integrerer en proxy. Ingen sertifikatoppdatering er nødvendig.
  • Gjennomsiktig ikke-inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse og bør ikke kreve endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
  • Gjennomsiktig inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTPS-konfigurasjonen er nødvendig på distribusjonen av hybriddatasikkerhet, men HDS-nodene trenger et rotsertifikat for å klarere proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
  • Eksplisitt proxy – Med eksplisitt proxy forteller du klienten (HDS-noder) hvilken proxy-server som skal brukes, og dette alternativet støtter flere godkjenningstyper. Når du har valgt dette alternativet, må du angi følgende informasjon:

    1. Proxy-IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

    3. Proxy Protocol – Velg http (viser og kontrollerer alle forespørsler som mottas fra klienten) eller https (gir en kanal til serveren, og klienten mottar og validerer serverens sertifikat). Velg et alternativ basert på hva proxy-serveren støtter.

    4. Godkjenningstype– velg blant følgende godkjenningstyper:

      • Ingen – Ingen ytterligere godkjenning er nødvendig.

        Tilgjengelig for HTTP- eller HTTPS-proxyer.

      • Grunnleggende – Brukes for en HTTP-brukeragent til å oppgi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

        Tilgjengelig for HTTP- eller HTTPS-proxyer.

        Hvis du velger dette alternativet, må du også angi brukernavn og passord.

      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

        Kun tilgjengelig for HTTPS-proxyer.

        Hvis du velger dette alternativet, må du også angi brukernavn og passord.

Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en eksplisitt HTTP-proxy med grunnleggende godkjenning eller en eksplisitt HTTPS-proxy.

3

Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen.

Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på chevron-pilen ved navnet på sertifikatutstederen for å få mer informasjon, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt.

4

Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen.

Hvis tilkoblingstesten mislykkes, får du en feilmelding som viser årsaken og hvordan du kan løse problemet.

Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne tilstanden forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene og ser Slå av blokkert ekstern DNS-oppløsningsmodus.

5

Etter at tilkoblingstesten er bestått, bare for eksplisitt proxy satt til https, slår du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen tar 15 sekunder før den trer i kraft.

6

Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en eksplisitt HTTP-proxy), les ledeteksten og klikk deretter på Installer hvis du er klar.

Noden starter på nytt innen noen få minutter.

7

Etter at noden har startet på nytt, logger du på igjen om nødvendig og åpner deretter Oversikt -siden for å sjekke tilkoblingskontrollene for å sikre at alle er i grønn status.

Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det er tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen.

Registrer den første noden i klyngen

Denne oppgaven tar den generiske noden du opprettet i Konfigurer VM for hybrid datasikkerhet, registrerer noden i Webex-skyen og gjør den om til en hybrid datasikkerhetsnode.

Når du registrerer din første node, oppretter du en klynge som noden er tilordnet til. En klynge inneholder én eller flere noder som er distribuert for å gi redundans.

Før du begynner

  • Når du begynner å registrere en node, må du fullføre den innen 60 minutter, eller du må starte på nytt.

  • Sørg for at eventuelle popup-blokkere i nettleseren er deaktivert, eller at du tillater et unntak for admin.webex.com.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du kortet for hybriddatasikkerhet og klikker på Konfigurer.

4

Klikk på Legg til en ressurs på siden som åpnes.

5

I det første feltet i Legg til en node -kortet skriver du inn et navn på klyngen du vil tilordne hybriddatasikkerhetsnoden til.

Vi anbefaler at du navngir en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

6

I det andre feltet skriver du inn den interne IP-adressen eller det fullstendige domenenavnet (FQDN) til noden og klikker på Legg til nederst på skjermen.

Denne IP-adressen eller FQDN skal samsvare med IP-adressen eller vertsnavnet og domenet du brukte i Konfigurere VM for hybriddatasikkerhet.

Det vises en melding som angir at du kan registrere noden din til Webex.
7

Klikk på Gå til node.

Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelse til Webex-organisasjonen din for å få tilgang til noden din.

8

Merk av i avkrysningsboksen Gi tilgang til din hybride datasikkerhetsnode , og klikk deretter på Fortsett.

Kontoen din er validert, og meldingen «Registreringen er fullført» indikerer at noden din nå er registrert i Webex-skyen.
9

Klikk på koblingen eller lukk fanen for å gå tilbake til Partner Hub Hybrid Data Security-siden.

På siden Hybriddatasikkerhet vises den nye klyngen som inneholder noden du registrerte, under Ressurser -fanen. Noden vil automatisk laste ned den nyeste programvaren fra skyen.

Opprett og registrer flere noder

Hvis du vil legge til flere noder i klyngen, oppretter du ganske enkelt flere VM-er og monterer den samme ISO-konfigurasjonsfilen og registrerer noden. Vi anbefaler at du har minst 3 noder.

Før du begynner

  • Når du begynner å registrere en node, må du fullføre den innen 60 minutter, eller du må starte på nytt.

  • Sørg for at eventuelle popup-blokkere i nettleseren er deaktivert, eller at du tillater et unntak for admin.webex.com.

1

Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA.

2

Konfigurer den første konfigurasjonen på den nye VM-en, og gjenta trinnene i Konfigurer VM for hybriddatasikkerhet.

3

På den nye VM gjentar du trinnene i Last opp og monter HDS-konfigurasjons-ISO.

4

Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrasjon etter behov for den nye noden.

5

Registrer noden.

  1. I https://admin.webex.com velger du Tjenester fra menyen til venstre på skjermen.

  2. Finn kortet for hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

    Siden Ressurser for hybriddatasikkerhet vises.

  3. Den nylig opprettede klyngen vises på Ressurser -siden.

  4. Klikk på klyngen for å vise nodene som er tilordnet klyngen.

  5. Klikk på Legg til en node til høyre på skjermen.

  6. Skriv inn den interne IP-adressen eller fullt kvalifisert domenenavn (FQDN) til noden, og klikk på Legg til.

    En side åpnes med en melding om at du kan registrere noden din i Webex-skyen. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi organisasjonen tillatelse til å få tilgang til noden din.

  7. Merk av i avkrysningsboksen Gi tilgang til din hybride datasikkerhetsnode , og klikk deretter på Fortsett.

    Kontoen din er validert, og meldingen «Registreringen er fullført» indikerer at noden din nå er registrert i Webex-skyen.

  8. Klikk på koblingen eller lukk fanen for å gå tilbake til Partner Hub Hybrid Data Security-siden.

    Node lagt til popup-melding vises også nederst på skjermen i Partner Hub.

    Noden din er registrert.

Administrere leietakerorganisasjoner for hybriddatasikkerhet for flere leietakere

Aktivere HDS for flere leietakere på Partner Hub

Denne oppgaven sikrer at alle brukere av kundeorganisasjonene kan begynne å bruke HDS for lokale krypteringsnøkler og andre sikkerhetstjenester.

Før du begynner

Sørg for at du har fullført konfigureringen av HDS-klyngen for flere leietakere med det nødvendige antallet noder.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Rediger innstillinger.

4

Klikk på Aktiver HDS på kortet HDS-status .

Legg til leietakerorganisasjoner i Partner Hub

I denne oppgaven tilordner du kundeorganisasjoner til din hybride datasikkerhetsklynge.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

Finn hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

4

Klikk på klyngen du vil at en kunde skal tilordnes til.

5

Gå til fanen Tilordnede kunder .

6

Klikk på Legg til kunder.

7

Velg kunden du vil legge til, fra rullegardinmenyen.

8

Klikk på Legg til, kunden blir lagt til i klyngen.

9

Gjenta trinn 6 til 8 for å legge til flere kunder i klyngen.

10

Klikk på Ferdig nederst på skjermen når du har lagt til kundene.

Hva du skal gjøre nå

Kjør HDS-installasjonsverktøyet som beskrevet i Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-installasjonsverktøyet for å fullføre installasjonsprosessen.

Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-installasjonsverktøyet

Før du begynner

Tilordne kunder til riktig klynge som beskrevet i Legg til leietakerorganisasjoner i Partner Hub. Kjør HDS-installasjonsverktøyet for å fullføre installasjonsprosessen for de nylig tillagte kundeorganisasjonene.

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, for eksempel disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i godkjenningspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du distribusjonen av PostgreSQL eller SQL Server for TLS.

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

Klikk på Ja på siden ISO-import.

10

Velg ISO-filen i nettleseren og last den opp.

Sørg for tilkobling til databasen din for å utføre CMK-administrasjon.
11

Gå til fanen Leietakers CMK-administrasjon , der du finner følgende tre måter å administrere leietakers CMK-er på.

  • Opprett CMK for alle organisasjoner eller Opprett CMK – Klikk på denne knappen på banneret øverst på skjermen for å opprette CMK for alle organisasjoner som nylig er lagt til.
  • Klikk på knappen Administrer CMK-er til høyre på skjermen, og klikk på Opprett CMK-er for å opprette CMK-er for alle nylig tillagte organisasjoner.
  • Klikk på … nær CMK-administrasjonen som venter på status for en bestemt organisasjon i tabellen, og klikk på Opprett CMK for å opprette CMK for den organisasjonen.
12

Når CMK opprettes, endres statusen i tabellen fra CMK-administrasjon venter til CMK-administrert.

13

Hvis opprettelsen av CMK mislykkes, vises en feilmelding.

Fjern leietakerorganisasjoner

Før du begynner

Når de er fjernet, vil ikke brukere av kundeorganisasjoner kunne utnytte HDS for sine krypteringsbehov og vil miste alle eksisterende områder. Før du fjerner kundeorganisasjoner, må du kontakte din Cisco-partner eller kontoadministrator.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

Finn hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

4

I fanen Ressurser klikker du på klyngen du vil fjerne kundeorganisasjoner fra.

5

Klikk på Tilordnede kunder på siden som åpnes.

6

Fra listen over kundeorganisasjoner som vises, klikker du på til høyre for kundeorganisasjonen du vil fjerne, og klikker på Fjern fra klynge.

Hva du skal gjøre nå

Fullfør fjerningsprosessen ved å tilbakekalle kundeorganisasjonens CMK-er, som beskrevet i Tilbakekall CMK-er for leiere som er fjernet fra HDS.

Tilbakekall CMK-er for leiere som er fjernet fra HDS.

Før du begynner

Fjern kunder fra den aktuelle klyngen som beskrevet i Fjern leietakerorganisasjoner. Kjør HDS-installasjonsverktøyet for å fullføre fjerningsprosessen for kundeorganisasjonene som ble fjernet.

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, for eksempel disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i godkjenningspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du distribusjonen av PostgreSQL eller SQL Server for TLS.

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

Klikk på Ja på siden ISO-import.

10

Velg ISO-filen i nettleseren og last den opp.

11

Gå til fanen Leietakers CMK-administrasjon , der du finner følgende tre måter å administrere leietakers CMK-er på.

  • Tilbakekall CMK for alle organisasjoner eller Tilbakekall CMK – Klikk på denne knappen på banneret øverst på skjermen for å tilbakekalle CMK for alle organisasjoner som ble fjernet.
  • Klikk på knappen Administrer CMK-er til høyre på skjermen, og klikk på Tilbakekall CMK-er for å tilbakekalle CMK-er for alle organisasjoner som ble fjernet.
  • Klikk på i nærheten av CMK for å bli tilbakekalt status for en bestemt organisasjon i tabellen, og klikk på Tilbakekall CMK for å tilbakekalle CMK for den bestemte organisasjonen.
12

Når CMK-opphevelse er fullført, vises ikke kundeorganisasjonen lenger i tabellen.

13

Hvis CMK-tilbakekalling mislykkes, vises en feil.

Test distribusjonen av hybrid datasikkerhet

Test distribusjonen av hybrid datasikkerhet

Bruk denne fremgangsmåten til å teste scenarier for kryptering av hybriddatasikkerhet for flere leietakere.

Før du begynner

  • Konfigurer distribusjonen av hybriddatasikkerhet for flere leietakere.

  • Sørg for at du har tilgang til syslog for å bekrefte at viktige forespørsler sendes til din distribusjon av hybriddatasikkerhet for flere leietakere.

1

Nøkler for et gitt område angis av skaperen av området. Logg på Webex-appen som en av brukerne av kundeorganisasjonen, og opprett deretter et område.

Hvis du deaktiverer distribusjonen av hybriddatasikkerhet, er ikke innhold i områder som brukere oppretter, lenger tilgjengelig når de klientbufrede kopiene av krypteringsnøklene er erstattet.

2

Send meldinger til det nye området.

3

Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til distribusjonen av hybriddatasikkerhet.

  1. Hvis du vil se etter en bruker først å opprette en sikker kanal til KMS, filtrerer du på kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du bør finne en oppføring som følgende (identifikatorer forkortet for lesbarhet):
    2020-07-21 17:35:34.562 (+0000) INFORMASJON KMS [pool-14-thread-1] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Kjælebarn: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Hvis du vil se etter en bruker som ber om en eksisterende nøkkel fra KMS, filtrerer du på kms.data.method=retrieve og kms.data.type=KEY:

    Du bør finne en oppføring som:
    2020-07-21 17:44:19.889 (+0000) INFORMASJON KMS [pool-14-thread-31] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Hvis du vil se etter en bruker som ber om å opprette en ny KMS-nøkkel, filtrerer du på kms.data.method=create og kms.data.type=KEY_COLLECTION:

    Du bør finne en oppføring som:
    2020-07-21 17:44:21.975 (+0000) INFORMASJON KMS [pool-14-thread-33] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Hvis du vil se etter en bruker som ber om opprettelse av et nytt KMS-ressursobjekt (KRO) når et område eller en annen beskyttet ressurs opprettes, filtrerer du på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

    Du bør finne en oppføring som: 
    2020-07-21 17:44:22.808 (+0000) INFORMASJON KMS [pool-15-thread-1] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåk sikkerhets helse for hybriddata

En statusindikator i Partner Hub viser deg om alt er bra med distribusjonen av hybriddatasikkerhet for flere leietakere. For mer proaktive varsler, registrer deg for e-postvarsler. Du blir varslet når det er alarmer eller programvareoppgraderinger som påvirker tjenesten.
1

I Partner Hub velger du Tjenester fra menyen til venstre på skjermen.

2

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Rediger innstillinger.

Siden Innstillinger for hybriddatasikkerhet vises.
3

Skriv inn én eller flere e-postadresser atskilt med komma i delen E-postvarsler, og trykk på Enter.

Administrer HDS-distribusjonen din

Administrer HDS-distribusjon

Bruk oppgavene som er beskrevet her for å administrere distribusjonen av hybriddatasikkerhet.

Angi tidsplan for klyngeoppgradering

Programvareoppgraderinger for hybrid datasikkerhet utføres automatisk på klyngenivå, noe som sikrer at alle noder alltid kjører samme programvareversjon. Oppgraderinger utføres i henhold til oppgraderingsplanen for klyngen. Når en programvareoppgradering blir tilgjengelig, har du muligheten til å oppgradere klyngen manuelt før det planlagte oppgraderingstidspunktet. Du kan angi en bestemt oppgraderingsplan eller bruke standardplanen kl. 3:00 AM Daily USA: Amerika/Los Angeles. Du kan også velge å utsette en kommende oppgradering, om nødvendig.

Slik angir du oppgraderingsplanen:

1

Logg på Partner Hub.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Konfigurer

4

Velg klyngen på siden Hybrid Data Security Resources.

5

Klikk på fanen Klyngeinnstillinger .

6

Velg klokkeslett og tidssone for oppgraderingsplanen på siden Klyngeinnstillinger under Oppgraderingsplan.

Merk: Under tidssonen vises neste tilgjengelige oppgraderingsdato og -klokkeslett. Du kan utsette oppgraderingen til neste dag ved å klikke på Utsett med 24 timer.

Endre nodekonfigurasjonen

Av og til må du kanskje endre konfigurasjonen av den hybride datasikkerhetsnoden av en grunn som:

  • Endring av x.509-sertifikater på grunn av utløp eller andre årsaker.

    Vi støtter ikke endring av CN-domenenavnet for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.

  • Oppdaterer databaseinnstillinger for å endre til en kopi av PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt måte. Start en ny distribusjon av hybriddatasikkerhet for å bytte databasemiljøet.

  • Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.

Av sikkerhetshensyn bruker Hybrid Data Security også passord for tjenestekontoer som har en levetid på ni måneder. Når HDS-installasjonsverktøyet har generert disse passordene, distribuerer du dem til hver av HDS-nodene i ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløpsdato, mottar du et varsel fra Webex-teamet om å tilbakestille passordet for maskinkontoen din. (E-posten inneholder teksten "Bruk maskinkontoens API til å oppdatere passordet.") Hvis passordene dine ikke er utløpt ennå, gir verktøyet deg to alternativer:

  • Myk tilbakestilling– De gamle og de nye passordene fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.

  • Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.

Hvis passordene utløper uten tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.

Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.

Før du begynner

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fullstendige partneradministratorrettigheter.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i 1.e. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i godkjenningspolicyen.

1

Kjør HDS-installasjonsverktøyet ved hjelp av Docker på en lokal maskin.

  1. På maskinens kommandolinje angir du riktig kommando for miljøet:

    I vanlige miljøer:

    docker rmi ciscocitg/hds-oppsett:stabil

    I FedRAMP-miljøer:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

  2. Skriv inn følgende for å logge på Docker-bilderegisteret:

    innlogging for dokkers brukerstøtte

  3. Skriv inn denne hashen når du blir bedt om passord:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Last ned det nyeste stabile bildet for miljøet ditt:

    I vanlige miljøer:

    hengslet trekk ciscocitg/hds-oppsett:stabil

    I FedRAMP-miljøer:

    hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil

    Sørg for at du bruker det nyeste installasjonsverktøyet for denne prosedyren. Versjoner av verktøyet som er opprettet før 22. februar 2018, har ikke skjermbildene for tilbakestilling av passord.

  5. Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

    • I vanlige miljøer uten proxy:

      docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

    • I vanlige miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I vanlige miljøer med HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljøer uten proxy:

      docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

    • I FedRAMP-miljøer med HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Når containeren kjører, ser du "Express server lytter på port 8080."

  6. Bruk en nettleser til å koble til localhost, http://127.0.0.1:8080.

    Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

  7. Når du blir bedt om det, skriver du inn påloggingslegitimasjonen til Partner Hub-kunden og klikker deretter på Godta for å fortsette.

  8. Importer gjeldende ISO-konfigurasjonsfil.

  9. Følg instruksjonene for å fullføre verktøyet og laste ned den oppdaterte filen.

    Hvis du vil slå av installasjonsverktøyet, skriver du inn CTRL+C.

  10. Opprett en sikkerhetskopi av den oppdaterte filen i et annet datasenter.

2

Hvis du bare kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den ved hjelp av den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, kan du se Opprette og registrere flere noder.

  1. Installer HDS-verten OVA.

  2. Sett opp HDS VM.

  3. Monter den oppdaterte konfigurasjonsfilen.

  4. Registrer den nye noden i Partner Hub.

3

Montere ISO-filen for eksisterende HDS-noder som kjører den eldre konfigurasjonsfilen. Utfør følgende prosedyre på hver node igjen, og oppdater hver node før du slår av neste node:

  1. Slå av den virtuelle maskinen.

  2. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

  3. Klikk på CD/DVD-stasjon 1, velg alternativet for montering fra en ISO-fil, og bla til plasseringen der du lastet ned den nye ISO-konfigurasjonsfilen.

  4. Merk av for Koble til ved strøm på.

  5. Lagre endringene og strøm på den virtuelle maskinen.

4

Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen.

Slå av blokkert ekstern DNS-oppløsningsmodus

Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modus for blokkert ekstern DNS-oppløsning.

Hvis nodene dine kan løse offentlige DNS-navn gjennom interne DNS-servere, kan du slå av denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.

Før du begynner

Sørg for at dine interne DNS-servere kan løse offentlige DNS-navn, og at nodene dine kan kommunisere med dem.
1

Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/oppsett, for eksempel https://192.0.2.0/setup), angi administratorlegitimasjonen du har konfigurert for noden, og klikk deretter på Logg på.

2

Gå til Oversikt (standardsiden).

Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja.

3

Gå til siden Klareringslager og proxy .

4

Klikk på Kontroller proxy-tilkobling.

Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og vil forbli i denne modusen. Hvis ikke, etter at du har startet noden på nytt og gått tilbake til Oversikt -siden, skal Blokkert ekstern DNS-oppløsning settes til Nei.

Hva du skal gjøre nå

Gjenta proxy-tilkoblingstesten på hver node i klyngen for hybriddatasikkerhet.

Fjerne en node

Bruk denne fremgangsmåten for å fjerne en hybrid datasikkerhetsnode fra Webex-skyen. Når du har fjernet noden fra klyngen, sletter du den virtuelle maskinen for å hindre ytterligere tilgang til sikkerhetsdataene dine.
1

Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuelle maskinen.

2

Fjern noden:

  1. Logg på Partner Hub, og velg deretter Tjenester.

  2. Klikk på Vis alle på kortet for hybriddatasikkerhet for å vise siden for hybriddatasikkerhetsressurser.

  3. Velg klyngen din for å vise oversiktspanelet.

  4. Klikk på noden du vil fjerne.

  5. Klikk på Avregistrer denne noden i panelet som vises til høyre

  6. Du kan også avregistrere noden ved å klikke … til høyre for noden og velge Fjern denne noden.

3

Slett VM-en i vSphere-klienten. (Høyreklikk på VM i venstre navigasjonsrute, og klikk på Slett.)

Hvis du ikke sletter VM-en, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke VM til å få tilgang til sikkerhetsdataene dine.

Katastrofegjenoppretting ved hjelp av standbydatasenter

Den mest kritiske tjenesten som din hybride datasikkerhetsklynge tilbyr, er oppretting og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet hybriddatasikkerhet, rutes nye forespørsler om nøkkeloppretting til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.

Fordi klyngen utfører den kritiske funksjonen med å levere disse nøklene, er det viktig at klyngen forblir i drift og at riktige sikkerhetskopier opprettholdes. Tap av hybriddatasikkerhetsdatabasen eller konfigurasjons-ISO som brukes for skjemaet, vil føre til UGJENOPPRETTELIG TAP av kundeinnhold. Følgende fremgangsmåter er obligatoriske for å forhindre et slikt tap:

Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenteret blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til standbydatasenteret.

Før du begynner

Avregistrer alle noder fra Partner Hub som nevnt i Fjern en node. Bruk den nyeste ISO-filen som ble konfigurert mot nodene i klyngen som tidligere var aktiv, til å utføre failover-prosedyren som er nevnt nedenfor.
1

Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-verter.

2

Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne.

3

Ta en sikkerhetskopi av ISO-filen på ditt lokale system. Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer.

4

Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

5

Klikk på Rediger innstillinger >CD/DVD-stasjon 1 og velg ISO-fil for datalager.

Kontroller at Tilkoblet og Koble til ved påslått er merket av slik at oppdaterte konfigurasjonsendringer kan tre i kraft etter at nodene er startet.

6

Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 15 minutter.

7

Registrer noden i Partner Hub. Se Registrer den første noden i klyngen.

8

Gjenta prosessen for hver node i standbydatasenteret.

Hva du skal gjøre nå

Hvis det primære datasenteret blir aktivt igjen etter failover, avregistrerer du nodene i standby-datasenteret og gjentar prosessen med å konfigurere ISO og registrere noder i det primære datasenteret som nevnt ovenfor.

(Valgfritt) Fjern ISO etter HDS-konfigurasjon

Standard HDS-konfigurasjon kjøres med ISO-montert. Men noen kunder foretrekker ikke å forlate ISO-filer kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-nodene har tatt opp den nye konfigurasjonen.

Du bruker fortsatt ISO-filene til å foreta konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO gjennom installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en igjen med denne fremgangsmåten.

Før du begynner

Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.

1

Slå av en av HDS-nodene dine.

2

Velg HDS-noden i vCenter Server Appliance.

3

Velg Rediger innstillinger > CD/DVD-stasjon og fjern merket for ISO-fil for datalager.

4

Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 20 minutter.

5

Gjenta for hver HDS-node i sin tur.

Feilsøke hybrid datasikkerhet

Vis varsler og feilsøking

En distribusjon av hybriddatasikkerhet anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller klyngen fungerer så sakte at forespørslene blir tidsavbrutt. Hvis brukere ikke kan nå din hybride datasikkerhetsklynge, opplever de følgende symptomer:

  • Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)

  • Meldinger og områdetitler kan ikke dekrypteres for:

    • Nye brukere lagt til i et område (kan ikke hente nøkler)

    • Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)

  • Eksisterende brukere i et område vil fortsette å kjøre vellykket så lenge klientene deres har en hurtigbuffer med krypteringsnøklene

Det er viktig at du overvåker den hybride datasikkerhetsklyngen riktig og adresserer eventuelle varsler umiddelbart for å unngå tjenesteavbrudd.

Varsler

Hvis det er et problem med oppsettet av hybriddatasikkerhet, viser Partner Hub varsler til organisasjonens administrator og sender e-post til den konfigurerte e-postadressen. Varslene dekker mange vanlige scenarier.

Tabell 1. Vanlige problemer og fremgangsmåten for å løse dem

Varsel

Handling

Feil ved tilgang til lokal database.

Se etter databasefeil eller lokale nettverksproblemer.

Feil ved lokal databasetilkobling.

Kontroller at databaseserveren er tilgjengelig, og at riktig tjenestekontolegitimasjon ble brukt i nodekonfigurasjonen.

Feil ved tilgang til skytjeneste.

Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling.

Fornye registrering av skytjeneste.

Registrering til skytjenester ble avbrutt. Fornyelse av registrering pågår.

Registrering av skytjeneste avbrutt.

Registrering til skytjenester avsluttet. Tjenesten er stengt.

Tjenesten er ikke aktivert ennå.

Aktiver HDS i Partner Hub.

Konfigurert domene samsvarer ikke med serversertifikatet.

Kontroller at serversertifikatet samsvarer med det konfigurerte tjenesteaktiveringsdomenet.

Den mest sannsynlige årsaken er at sertifikatets CN nylig ble endret og nå er forskjellig fra CN som ble brukt under den første installasjonen.

Kunne ikke autentisere seg til skytjenester.

Sjekk for nøyaktighet og mulig utløp av legitimasjon for tjenestekontoen.

Kunne ikke åpne lokal nøkkelbutikkfil.

Kontroller integritet og passordnøyaktighet på den lokale nøkkelbutikkfilen.

Det lokale serversertifikatet er ugyldig.

Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans.

Kan ikke legge ut måledata.

Kontroller lokal nettverkstilgang til eksterne skytjenester.

/media/configdrive/hds-katalog finnes ikke.

Kontroller konfigurasjonen av ISO-monteringen på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å monteres ved omstart, og at den monteres.

Oppsett av leietakerorganisasjon er ikke fullført for de tilførte organisasjonene

Fullfør oppsettet ved å opprette CMK-er for nylig tillagte leietakerorganisasjoner ved hjelp av HDS-installasjonsverktøyet.

Oppsett av leietakerorganisasjon er ikke fullført for fjernede organisasjoner

Fullfør oppsettet ved å tilbakekalle CMK-er for leietakerorganisasjoner som ble fjernet ved hjelp av HDS-installasjonsverktøyet.

Feilsøke hybrid datasikkerhet

Bruk følgende generelle retningslinjer når du feilsøker problemer med hybriddatasikkerhet.
1

Se gjennom Partner Hub for eventuelle varsler og fikse eventuelle elementer du finner der. Se bildet nedenfor for referanse.

2

Se gjennom syslog-serverens utdata for aktivitet fra distribusjonen av hybriddatasikkerhet. Filtrer etter ord som "Advarsel" og "Feil" for å hjelpe til med feilsøking.

3

Kontakt Ciscos kundestøtte.

Andre merknader

Kjente problemer for hybrid datasikkerhet

  • Hvis du avslutter klyngen for hybriddatasikkerhet (ved å slette den i Partner Hub eller ved å avslutte alle noder), mister konfigurasjons-ISO-filen eller mister tilgangen til nøkkelbutikkdatabasen, kan ikke Webex-appbrukere i kundeorganisasjoner lenger bruke områder under Personer-listen sin som ble opprettet med nøkler fra KMS. Vi har for øyeblikket ingen løsning eller løsning på dette problemet, og vi oppfordrer deg til ikke å avslutte HDS-tjenestene når de håndterer aktive brukerkontoer.

  • En klient som har en eksisterende ECDH-tilkobling til en KMS opprettholder denne tilkoblingen i en tidsperiode (sannsynligvis én time).

Bruk OpenSSL til å generere en PKCS12-fil

Før du begynner

  • OpenSSL er et verktøy som kan brukes til å lage PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi støtter ikke eller fremmer en måte fremfor en annen.

  • Hvis du velger å bruke OpenSSL, tilbyr vi denne prosedyren som en veiledning for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i X.509-sertifikatkrav. Forstå disse kravene før du fortsetter.

  • Installer OpenSSL i et støttet miljø. Se https://www.openssl.org for programvare og dokumentasjon.

  • Opprett en privat nøkkel.

  • Start denne prosedyren når du mottar serversertifikatet fra Certificate Authority (CA).

1

Når du mottar serversertifikatet fra din CA, lagrer du det som hdsnode.pem.

2

Vis sertifikatet som tekst og bekreft detaljene.

openssl x509 -tekst -noout -i hdsnode.pem

3

Bruk et tekstredigeringsprogram til å opprette en sertifikatbuntfil kalt hdsnode-bundle.pem. Pakkefilen må inneholde serversertifikatet, eventuelle mellomliggende CA-sertifikater og rot-CA-sertifikatene i formatet nedenfor:

-----start sertifikat------ ### Serversertifikat ### -----end sertifikat------------ start sertifikat----- ### Mellomliggende CA-sertifikat. ### -----end sertifikat------------ start sertifikat----- ### Rot-CA-sertifikat. ### -----end sertifikat-----

4

Opprett .p12-filen med det vennlige navnet kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontroller serversertifikatdetaljene.

  1. openssl pkcs12 -i eno-dsnode.p12

  2. Skriv inn et passord når du blir bedt om å kryptere den private nøkkelen slik at den blir oppført i utdata. Deretter bekrefter du at den private nøkkelen og det første sertifikatet inkluderer linjene vennligeName: kms-privat nøkkel.

    Eksempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Angi importpassord: MAC bekreftet OK Bag-attributter friendlyName: kms-privat nøkkel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nøkkelattributter:  Angi PEM-passfrase: Bekreft – angi PEM-passfrase: -----BEGIN KRYPTERT PRIVAT NØKKEL-----  -----END KRYPTERT PRIVAT NØKKEL----- Bag Attributter friendlyName: kms-privat nøkkel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=La oss kryptere/CN=La oss kryptere autoritet X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Posens attributter friendlyName: CN=La oss kryptere myndighet X3,O=La oss kryptere,C=US subject=/C=US/O=La oss kryptere myndighet X3 utsteder=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE------

Hva du skal gjøre nå

Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet. Du bruker hdsnode.p12 -filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-verter.

Du kan bruke disse filene på nytt for å be om et nytt sertifikat når det opprinnelige sertifikatet utløper.

Trafikk mellom HDS-nodene og skyen

Utgående metrikkinnsamlingstrafikk

Nodene for hybriddatasikkerhet sender visse målinger til Webex-skyen. Disse inkluderer systemmålinger for maks. heap, heap brukt, CPU-belastning og antall tråder, målinger på synkrone og asynkrone tråder, målinger på varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller lengde på en forespørselskø, målinger på datalageret og krypteringstilkoblingsmålinger. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).

Innkommende trafikk

Nodene for hybriddatasikkerhet mottar følgende typer innkommende trafikk fra Webex-skyen:

  • Krypteringsforespørsler fra klienter som rutes av krypteringstjenesten

  • Oppgraderinger til nodeprogramvaren

Konfigurere Squid-proxyer for hybriddatasikkerhet

Websocket kan ikke koble til via Squid-proxy

Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av websocket-tilkoblinger (wss:) som hybriddatasikkerhet krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss: trafikk for riktig drift av tjenestene.

Squid 4 og 5

Legg til on_unsupported_protocol direktivet i squid.conf:

on_unsupported_protocol tunnel alle

Squid 3.5.27

Vi testet hybriddatasikkerhet med følgende regler lagt til i squid.conf. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.

acl wssMercuryConnection ssl::server_name_regex mercury-tilkobling ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump titte step1 alle ssl_bump stirre step2 alle ssl_bump bump step3 alle

Ny og endret informasjon

Ny og endret informasjon

Denne tabellen dekker nye funksjoner eller funksjonalitet, endringer i eksisterende innhold og eventuelle store feil som ble løst i distribusjonsveiledningen for hybriddatasikkerhet for flere leietakere.

Dato

Endringer gjort

30. januar 2025

La til SQL-serverversjon 2022 i listen over støttede SQL-servere i Krav til databaseserver.

15. januar 2025

Lagt til begrensninger for hybriddatasikkerhet for flere leietakere.

08. januar 2025

La til en merknad i Utfør innledende konfigurering og nedlasting av installasjonsfiler som sier at det er et viktig trinn i installasjonsprosessen å klikke på Konfigurer på HDS-kortet i Partner Hub.

07. januar 2025

Oppdaterte krav til virtuell vert, oppgaveflyt for distribusjon av hybrid datasikkerhet og Installer HDS Host OVA for å vise nye krav til ESXi 7.0.

13. desember 2024

Først publisert.

Deaktivere hybriddatasikkerhet for flere leietakere

Oppgaveflyt for deaktivering av HDS for flere leietakere

Følg disse trinnene for å deaktivere HDS for flere leietakere fullstendig.

Før du begynner

Denne oppgaven skal bare utføres av en fullstendig partneradministrator.
1

Fjern alle kunder fra alle klyngene dine, som nevnt i Fjern leietakerorganisasjoner.

2

Tilbakekall CMK-er for alle kunder, som nevnt i Tilbakekall CMK-er for leiere som er fjernet fra HDS..

3

Fjern alle noder fra alle klyngene dine, som nevnt i Fjern en node.

4

Slett alle klyngene dine fra Partner Hub ved hjelp av én av følgende to metoder.

  • Klikk på klyngen du vil slette, og velg Slett denne klyngen øverst til høyre på oversiktssiden.
  • På Ressurser-siden klikker du på … til høyre for en klynge, og velger Fjern klynge.
5

Klikk på fanen Innstillinger på oversiktssiden for hybriddatasikkerhet, og klikk på Deaktiver HDS på HDS-statuskortet.

Kom i gang med hybriddatasikkerhet for flere leietakere

Oversikt over hybriddatasikkerhet for flere leietakere

Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er innholdskryptering fra ende-til-ende, aktivert av Webex-appklienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografiske nøkler som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.

Som standard får alle Webex-appkunder ende-til-ende-kryptering med dynamiske nøkler lagret i skyen KMS, i Ciscos sikkerhetsområde. Hybrid Data Security flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, så ingen andre enn deg har nøklene til ditt krypterte innhold.

Hybriddatasikkerhet med flere leietakere gjør det mulig for organisasjoner å utnytte HDS gjennom en klarert lokal partner, som kan fungere som tjenesteleverandør og administrere lokal kryptering og andre sikkerhetstjenester. Dette oppsettet gjør det mulig for partnerorganisasjonen å ha full kontroll over distribusjon og administrasjon av krypteringsnøkler og sikrer at brukerdata fra kundeorganisasjoner er trygge mot ekstern tilgang. Partnerorganisasjoner setter opp HDS-forekomster og oppretter HDS-klynger etter behov. Hver forekomst kan støtte flere kundeorganisasjoner i motsetning til en vanlig HDS-distribusjon som er begrenset til én enkelt organisasjon.

Selv om partnerorganisasjoner har kontroll over distribusjon og administrasjon, har de ikke tilgang til data og innhold som genereres av kunder. Denne tilgangen er begrenset til kundeorganisasjoner og deres brukere.

Dette gjør det også mulig for mindre organisasjoner å utnytte HDS, siden tjeneste for nøkkeladministrasjon og sikkerhetsinfrastruktur som datasentre eies av den klarerte lokale partneren.

Hvordan hybriddatasikkerhet for flere leietakere gir datasuverenitet og datakontroll

  • Brukergenerert innhold er beskyttet mot ekstern tilgang, for eksempel skytjenesteleverandører.
  • Lokale klarerte partnere administrerer krypteringsnøklene til kunder de allerede har etablert relasjoner med.
  • Alternativ for lokal teknisk støtte, hvis den leveres av partneren.
  • Støtter innhold i møter, meldinger og anrop.

Dette dokumentet er ment å hjelpe partnerorganisasjoner med å konfigurere og administrere kunder under et hybriddatasikkerhetssystem for flere leietakere.

Begrensninger for hybriddatasikkerhet for flere leietakere

  • Partnerorganisasjoner kan ikke ha noen eksisterende HDS-distribusjon aktiv i Control Hub.
  • Leier- eller kundeorganisasjoner som ønsker å bli administrert av en partner, må ikke ha noen eksisterende HDS-distribusjon i Control Hub.
  • Når Multi-Tenant HDS er distribuert av partneren, begynner alle brukere av kundeorganisasjoner samt brukere av partnerorganisasjonen å bruke Multi-Tenant HDS for sine krypteringstjenester.

    Partnerorganisasjonen og kundeorganisasjonene de administrerer, vil være på samme HDS-distribusjon for flere leietakere.

    Partnerorganisasjonen vil ikke lenger bruke sky-KMS etter at multi-tenant HDS er distribuert.

  • Det finnes ingen mekanisme for å flytte nøkler tilbake til Cloud KMS etter en HDS-distribusjon.
  • For øyeblikket kan hver HDS-distribusjon for flere leietakere bare ha én klynge, med flere noder under den.
  • Administratorroller har visse begrensninger. Se avsnittet nedenfor for detaljer.

Roller i hybriddatasikkerhet for flere leietakere

  • Fullstendig partneradministrator – Kan administrere innstillinger for alle kunder som partneren administrerer. Kan også tilordne administratorroller til eksisterende brukere i organisasjonen og tilordne bestemte kunder som skal administreres av partneradministratorer.
  • Partneradministrator – Kan administrere innstillinger for kunder som administratoren har klargjort, eller som er tilordnet brukeren.
  • Fullverdig administrator – Administrator for partnerorganisasjonen som er autorisert til å utføre oppgaver som å endre organisasjonsinnstillinger, administrere lisenser og tilordne roller.
  • Oppsett og administrasjon av HDS med flere leietakere fra ende til ende for alle kundeorganisasjoner – fullstendig partneradministrator og fullstendige administratorrettigheter kreves.
  • Administrasjon av tilordnede leietakerorganisasjoner – Partneradministrator og fullstendige administratorrettigheter kreves.

Sikkerhetsområde arkitektur

Webex-skyarkitekturen skiller forskjellige typer tjenester inn i separate områder, eller klareringsdomener, som vist nedenfor.

Områder for separasjon (uten hybrid datasikkerhet)

For å forstå hybrid datasikkerhet ytterligere, la oss først se på dette rene skytilfellet, der Cisco leverer alle funksjonene i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan være direkte korrelert med sine personopplysninger, for eksempel e-postadresse, er logisk og fysisk adskilt fra sikkerhetsområdet i datasenter B. Begge er i sin tur adskilt fra området der kryptert innhold lagres, i datasenter C.

I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og er godkjent med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:

  1. Klienten oppretter en sikker tilkobling til nøkkeladministrasjonstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikre tilkoblingen bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en hovednøkkel AES-256.

  2. Meldingen krypteres før den forlater klienten. Klienten sender det til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe i fremtidige søk etter innholdet.

  3. Den krypterte meldingen sendes til samsvarstjenesten for kontroll av samsvar.

  4. Den krypterte meldingen lagres i lagringsområdet.

Når du distribuerer hybrid datasikkerhet, flytter du sikkerhetsområdefunksjonene (KMS, indeksering og samsvar) til det lokale datasenteret. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos områder.

Samarbeide med andre organisasjoner

Brukere i organisasjonen kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen din (fordi det ble opprettet av en av brukerne), sender KMS nøkkelen til klienten via en ECDH-sikret kanal. Når en annen organisasjon eier nøkkelen for området, sender KMS imidlertid forespørselen ut til Webex-skyen via en egen ECDH-kanal for å hente nøkkelen fra den aktuelle KMS, og returnerer deretter nøkkelen til brukeren din på den opprinnelige kanalen.

KMS-tjenesten som kjører på Org A, validerer tilkoblingene til KMS i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet hvis du vil ha mer informasjon om hvordan du genererer et x.509-sertifikat som skal brukes med distribusjonen av hybriddatasikkerhet for flere leietakere.

Forventninger til distribusjon av hybrid datasikkerhet

En distribusjon av hybrid datasikkerhet krever betydelig forpliktelse og bevissthet om risikoene som følger med å eie krypteringsnøkler.

For å distribuere hybrid datasikkerhet må du oppgi:

Fullstendig tap av enten konfigurasjons-ISO-en du bygger for hybriddatasikkerhet eller databasen du leverer, vil føre til tap av nøklene. Nøkkeltap hindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:

  • Administrer sikkerhetskopiering og gjenoppretting av databasen og konfigurasjons-ISO.

  • Vær forberedt på å utføre rask katastrofegjenoppretting hvis en katastrofe oppstår, for eksempel databasediskfeil eller datasenterkatastrofe.

Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon.

Oppsettsprosess på høyt nivå

Dette dokumentet dekker oppsettet og administrasjonen av en distribusjon av hybriddatasikkerhet for flere leietakere:

  • Konfigurere hybrid datasikkerhet – Dette inkluderer klargjøring av nødvendig infrastruktur og installering av hybrid datasikkerhetsprogramvare, bygging av en HDS-klynge, tillegging av leierorganisasjoner i klyngen og administrasjon av kundens hovednøkler (CMK-er). Dette vil gjøre det mulig for alle brukere i kundeorganisasjonene dine å bruke den hybride datasikkerhetsklyngen til sikkerhetsfunksjoner.

    Installasjons-, aktiverings- og administrasjonsfasene er beskrevet i detalj i de neste tre kapitlene.

  • Oppretthold distribusjonen av hybrid datasikkerhet – Webex-skyen gir automatisk pågående oppgraderinger. IT-avdelingen din kan gi støtte på nivå én for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke varsler på skjermen og konfigurere e-postbaserte varsler i Partner Hub.

  • Forstå vanlige varsler, feilsøkingstrinn og kjente problemer– Hvis du har problemer med å distribuere eller bruke hybriddatasikkerhet, kan det siste kapitlet i denne veiledningen og vedlegget Kjente problemer hjelpe deg med å finne og løse problemet.

Distribusjonsmodell for hybrid datasikkerhet

I bedriftens datasenter distribuerer du hybrid datasikkerhet som én klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen via sikre websockets og sikre HTTP.

Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere det virtuelle apparatet på VM-ene du leverer. Du bruker HDS-installasjonsverktøyet til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Den hybride datasikkerhetsklyngen bruker den oppgitte Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)

Distribusjonsmodell for hybrid datasikkerhet

Minimum antall noder du kan ha i en klynge, er to. Vi anbefaler minst tre per klynge. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)

Alle noder i en klynge får tilgang til samme nøkkeldatalager og loggaktivitet til samme syslog-server. Nodene selv er statsløse, og håndterer nøkkelforespørsler på rund-robin-modus, som styres av skyen.

Noder blir aktive når du registrerer dem i Partner Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.

Standby Data Center for katastrofegjenoppretting

Under distribusjonen setter du opp et sikkert standbydatasenter. I tilfelle en datasenterkatastrofe, kan du manuelt mislykkes distribusjonen til standbydatasenteret.

Før failover har datasenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-databasen, mens B har en kopi av ISO-filen med ekstra konfigurasjoner, virtuelle maskiner som er registrert i organisasjonen, og en standbydatabase. Etter failover har datasenter B aktive HDS-noder og den primære databasen, mens A har uregistrerte VM-er og en kopi av ISO-filen, og databasen er i standbymodus.
Manuell failover til standby-datasenter

Databasene til de aktive datasentrene og standbydatasentrene er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover.

De aktive nodene for hybriddatasikkerhet må alltid være i samme datasenter som den aktive databaseserveren.

Proxy-støtte

Hybrid Data Security støtter eksplisitte, gjennomsiktige inspeksjons- og ikke-inspeksjons-proxyer. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et plattformadministratorgrensesnitt på nodene for sertifikatadministrasjon og for å kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.

Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:

  • Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Trust Store & Proxy-konfigurasjonen til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.

  • Gjennomsiktig ikke-inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse og bør ikke kreve endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.

  • Gjennomsiktig tunnelering eller inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjonen er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de stoler på proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).

  • Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og godkjenningsskjema som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon på hver node:

    1. Proxy-IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

    3. Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:

      • HTTP – viser og kontrollerer alle forespørsler som klienten sender.

      • HTTPS – Gir en kanal til serveren. Klienten mottar og validerer serverens sertifikat.

    4. Godkjenningstype– velg blant følgende godkjenningstyper:

      • Ingen – Ingen ytterligere godkjenning er nødvendig.

        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

      • Grunnleggende – Brukes for en HTTP-brukeragent til å oppgi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

        Krever at du skriver inn brukernavn og passord for hver node.

      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

        Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.

        Krever at du skriver inn brukernavn og passord for hver node.

Eksempel på noder og proxy for hybriddatasikkerhet

Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og eksplisitt HTTPS-inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.

Blokkert ekstern DNS-oppløsningsmodus (eksplisitte proxy-konfigurasjoner)

Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsning-modus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.

Forbered miljøet ditt

Krav til hybriddatasikkerhet for flere leietakere

Krav til Cisco Webex-lisens

Slik distribuerer du hybriddatasikkerhet for flere leietakere:

  • Partnerorganisasjoner: Kontakt din Cisco-partner eller kontoadministrator og sørg for at funksjonen for flere leietakere er aktivert.

  • Leietakerorganisasjoner: Du må ha Pro Pack for Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker-skrivebord

Før du installerer HDS-nodene, trenger du Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig sin lisensieringsmodell. Organisasjonen din kan kreve et betalt abonnement på Docker Desktop. Hvis du vil ha mer informasjon, kan du se innlegget til Docker-bloggen, «Docker oppdaterer og utvider våre produktabonnementer».

X.509-sertifikatkrav

Sertifikatkjeden må oppfylle følgende krav:

Tabell 1. X.509-sertifikatkrav for distribusjon av hybriddatasikkerhet

Krav

Detaljer

  • Signert av en klarert sertifiseringsinstans (CA)

Som standard stoler vi på sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har et Common Name (CN) domenenavn som identifiserer din distribusjon av hybriddatasikkerhet

  • Er ikke et jokertegn

CN trenger ikke å være tilgjengelig eller en direkte vert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel hds.company.com.

CN kan ikke inneholde et * (jokertegn).

CN brukes til å bekrefte nodene for hybriddatasikkerhet til Webex-appklienter. Alle nodene for hybriddatasikkerhet i klyngen bruker det samme sertifikatet. KMS identifiserer seg selv ved hjelp av CN-domenet, ikke et domene som er definert i x.509v3 SAN-feltene.

Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN-domenenavnet.

  • Ikke-SHA1-signatur

KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjons KMS-er.

  • Formatert som en passordbeskyttet PKCS #12-fil

  • Bruk det vennlige navnet på kms-private-key for å tagge sertifikatet, privat nøkkel og eventuelle mellomliggende sertifikater som skal lastes opp.

Du kan bruke en konverter som OpenSSL til å endre sertifikatets format.

Du må angi passordet når du kjører HDS-installasjonsverktøyet.

KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifikatmyndigheter krever at utvidede nøkkelbruksbegrensninger brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.

Krav til virtuell vert

De virtuelle vertene som du vil konfigurere som Hybrid Data Security-noder i klyngen har følgende krav:

  • Minst to separate verter (3 anbefales) plassert i samme sikre datasenter

  • VMware ESXi 7.0 (eller nyere) installert og kjører.

    Du må oppgradere hvis du har en tidligere versjon av ESXi.

  • Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokalt harddiskplass per server

Krav til databaseserver

Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene oppretter databaseskjemaet når de er installert.

Det finnes to alternativer for databaseserver. Kravene til hver av dem er som følger:

Tabell 2. Databaseserverkrav etter type database

PostgreSql

Microsoft SQL Server

  • PostgreSQL 14, 15 eller 16, installert og kjører.

  • SQL Server 2016, 2017, 2019 eller 2022 (Enterprise eller Standard) installert.

    SQL Server 2016 krever Service Pack 2 og kumulativ oppdatering 2 eller nyere.

Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at det ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at det ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserveren:

PostgreSql

Microsoft SQL Server

Postgres JDBC driver 42.2.5

SQL Server JDBC driver 4.6

Denne driverversjonen støtter SQL Server Always On (Always On Failover Cluster Instances og Always On Availability Groups).

Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server

Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til Keystore-databasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:

  • HDS-nodene, Active Directory-infrastrukturen og MS SQL Server må alle synkroniseres med NTP.

  • Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.

  • DNS-serverne du leverer til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).

  • Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et tjenestehovednavn (SPN) i Active Directory. Se Registrer tjenestens hovednavn for Kerberos-tilkoblinger.

    HDS-installasjonsverktøyet, HDS-oppstartsprogrammet og lokal KMS må bruke Windows-godkjenning for å få tilgang til nøkkelbutikkdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN-en når de ber om tilgang med Kerberos-godkjenning.

Krav til ekstern tilkobling

Konfigurer brannmuren slik at den tillater følgende tilkobling for HDS-programmene:

Applikasjon

Protokoll

Port

Retning fra appen

Destinasjon

Noder for hybriddatasikkerhet

tcp

443

Utgående HTTPS og WSS

  • Webex-servere:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-verter

  • Andre URL-adresser som er oppført for hybriddatasikkerhet i tabellen Ytterligere URL-adresser for Webex-hybridtjenester med Nettverkskrav for Webex-tjenester

HDS-oppsettsverktøy

tcp

443

Utgående HTTPS

  • *.wbx2.com

  • Alle Common Identity-verter

  • hub.docker.com

Nodene for hybriddatasikkerhet fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmuren tillater de nødvendige utgående tilkoblingene til domenet-målene i tabellen ovenfor. Ingen porter skal være synlige fra Internett for tilkoblinger som går inn til nodene for hybriddatasikkerhet. I datasenteret trenger klienter tilgang til nodene for hybriddatasikkerhet på TCP-portene 443 og 22 av administrative grunner.

URL-adressene for Common Identity (CI)-vertene er områdespesifikke. Dette er de gjeldende CI-vertene:

Region

URL-adresser for Common Identity Host

Nord-Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Den europeiske union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

De forente arabiske emirater

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Krav til proxy-server

  • Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene for hybriddatasikkerhet.

    • Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).

    • Eksplisitt proxy – Squid.

      Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre opprettelsen av websocket-tilkoblinger (wss:). Hvis du vil omgå dette problemet, kan du se Konfigurere Squid-proxyer for hybriddatasikkerhet.

  • Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:

    • Ingen godkjenning med HTTP eller HTTPS

    • Grunnleggende godkjenning med HTTP eller HTTPS

    • Digest-godkjenning kun med HTTPS

  • For en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne veiledningen forteller deg hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnodene.

  • Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.

  • Proxyer som inspiserer webtrafikk kan forstyrre Web Socket-tilkoblinger. Hvis dette problemet oppstår, vil det å omgå (ikke inspisere) trafikk til wbx2.com , og ciscospark.com vil løse problemet.

Fullfør forutsetningene for hybrid datasikkerhet

Bruk denne sjekklisten til å sikre at du er klar til å installere og konfigurere den hybride datasikkerhetsklyngen.
1

Sørg for at partnerorganisasjonen din har HDS-funksjonen for flere leietakere aktivert og få legitimasjonen til en konto med fullstendig partneradministrator og fullstendige administratorrettigheter. Påse at Webex-kundeorganisasjonen er aktivert for Pro Pack for Cisco Webex Control Hub. Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen.

Kundeorganisasjoner skal ikke ha noen eksisterende HDS-distribusjon.

2

Velg et domenenavn for HDS-distribusjonen (for eksempel hds.company.com) og hent en sertifikatkjede som inneholder et X.509-sertifikat, privat nøkkel og eventuelle mellomliggende sertifikater. Sertifikatkjeden må oppfylle kravene i X.509 Sertifikatkrav.

3

Klargjør identiske virtuelle verter som du vil konfigurere som Hybrid Data Security-noder i klyngen. Du trenger minst to separate verter (3 anbefales) plassert i samme sikre datasenter, som oppfyller kravene i Krav til virtuelle verter.

4

Klargjør databaseserveren som skal fungere som nøkkeldatalager for klyngen, i henhold til Databaseserverkrav. Databaseserveren må være plassert i det sikre datasenteret med de virtuelle vertene.

  1. Opprett en database for nøkkellagring. (Du må opprette denne databasen – ikke bruk standarddatabasen. HDS-programmene oppretter databaseskjemaet når de er installert.)

  2. Samle inn detaljene som nodene skal bruke til å kommunisere med databaseserveren:

    • vertsnavnet eller IP-adressen (vert) og port

    • navnet på databasen (dbname) for nøkkellagring

    • brukernavnet og passordet til en bruker med alle rettigheter i databasen for nøkkellagring

5

For rask katastrofegjenoppretting konfigurerer du et sikkerhetskopieringsmiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet til VM-er og en sikkerhetskopidatabaseserver. Hvis for eksempel produksjonen har 3 VM-er som kjører HDS-noder, skal sikkerhetskopieringsmiljøet ha 3 VM-er.

6

Sett opp en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadressen og syslog-porten (standard er UDP 514).

7

Opprett en sikker sikkerhetskopieringspolicy for nodene for hybriddatasikkerhet, databaseserveren og syslog-verten. For å forhindre ugjenopprettelig tap av data må du som minimum sikkerhetskopiere databasen og konfigurasjonsfilen som genereres for nodene for hybriddatasikkerhet.

Fordi nodene for hybriddatasikkerhet lagrer nøklene som brukes til kryptering og dekryptering av innhold, vil manglende vedlikehold av en operativ distribusjon føre til UGJENOPPRETTELIG TAP av dette innholdet.

Webex-appklienter bufrer nøklene sine, så det kan hende at et driftsbrudd ikke er umiddelbart merkbart, men vil bli tydelig over tid. Selv om midlertidige avbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopieringer tilgjengelig) av enten databasen eller konfigurasjons-ISO-filen vil imidlertid føre til ugjenopprettbare kundedata. Operatørene av nodene for hybriddatasikkerhet forventes å opprettholde hyppige sikkerhetskopieringer av databasen og konfigurasjonsfilen, og være forberedt på å gjenoppbygge datasenteret for hybriddatasikkerhet hvis det oppstår en katastrofal feil.

8

Kontroller at brannmurkonfigurasjonen tillater tilkobling for hybriddatasikkerhetsnodene som beskrevet i Krav til ekstern tilkobling.

9

Installer Docker ( https://www.docker.com) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til det på http://127.0.0.1:8080.

Du bruker Docker-forekomsten til å laste ned og kjøre HDS-installasjonsverktøyet, som bygger den lokale konfigurasjonsinformasjonen for alle nodene for hybriddatasikkerhet. Du trenger kanskje en Docker Desktop-lisens. Se Krav til Docker Desktop for mer informasjon.

For å installere og kjøre HDS-installasjonsverktøyet må den lokale maskinen ha tilkoblingen beskrevet i Krav til ekstern tilkobling.

10

Hvis du integrerer en proxy med hybriddatasikkerhet, må du sørge for at den oppfyller kravene til proxy-serveren.

Konfigurere en klynge for hybriddatasikkerhet

Oppgaveflyt for distribusjon av hybrid datasikkerhet

Før du begynner

1

Utfør første konfigurasjon og last ned installasjonsfiler

Last ned OVA-filen til din lokale maskin for senere bruk.

2

Opprette en konfigurasjons-ISO for HDS-verter

Bruk HDS-installasjonsverktøyet til å opprette en ISO-konfigurasjonsfil for nodene for hybriddatasikkerhet.

3

Installere HDS Host OVA

Opprett en virtuell maskin fra OVA-filen og utfør første konfigurasjon, for eksempel nettverksinnstillinger.

Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 7.0. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

4

Konfigurere VM for hybriddatasikkerhet

Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA ble distribuert.

5

Laste opp og montere konfigurasjons-ISO for HDS

Konfigurer VM fra ISO-konfigurasjonsfilen du opprettet med HDS-installasjonsverktøyet.

6

Konfigurere HDS-noden for proxy-integrering

Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du hvilken type proxy du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig.

7

Registrer den første noden i klyngen

Registrer VM med Cisco Webex-skyen som en hybrid datasikkerhetsnode.

8

Opprett og registrer flere noder

Fullfør klyngeoppsettet.

9

Aktiver HDS for flere leietakere på Partner Hub.

Aktiver HDS og administrer leierorganisasjoner på Partner Hub.

Utfør første konfigurasjon og last ned installasjonsfiler

I denne oppgaven laster du ned en OVA-fil til maskinen din (ikke til serverne du konfigurerer som Hybrid Data Security-noder). Du bruker denne filen senere i installasjonsprosessen.

1

Logg på Partner Hub, og klikk deretter på Tjenester.

2

Finn kortet for hybriddatasikkerhet under Skytjenester, og klikk deretter på Konfigurer.

Å klikke på Konfigurer i Partner Hub er avgjørende for distribusjonsprosessen. Ikke fortsett med installasjonen uten å fullføre dette trinnet.

3

Klikk på Legg til en ressurs , og klikk på Last ned .OVA-fil på kortet Installer og konfigurer programvare .

Eldre versjoner av programvarepakken (OVA) vil ikke være kompatible med de nyeste oppgraderingene for hybriddatasikkerhet. Dette kan føre til problemer under oppgradering av programmet. Sørg for at du laster ned den nyeste versjonen av OVA-filen.

Du kan også laste ned OVA når som helst fra Hjelp -delen. Klikk på Innstillinger > Hjelp > Last ned programvare for hybriddatasikkerhet.

OVA-filen begynner automatisk å lastes ned. Lagre filen på en plassering på maskinen.
4

Du kan eventuelt klikke på Se distribusjonsveiledning for hybriddatasikkerhet for å sjekke om det finnes en senere versjon av denne veiledningen.

Opprette en konfigurasjons-ISO for HDS-verter

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

Før du begynner
1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

På siden ISO-import har du disse alternativene:

  • Nei– Hvis du oppretter din første HDS-node, har du ikke en ISO-fil å laste opp.
  • Ja – Hvis du allerede har opprettet HDS-noder, velger du ISO-filen din i nettleseren og laster den opp.
10

Kontroller at X.509-sertifikatet oppfyller kravene i X.509-sertifikatkrav.

  • Hvis du aldri har lastet opp et sertifikat før, laster du opp X.509-sertifikatet, skriver inn passordet og klikker på Fortsett.
  • Hvis sertifikatet er OK, klikker du på Fortsett.
  • Hvis sertifikatet har utløpt eller du vil erstatte det, velger du Nei for Fortsett å bruke HDS-sertifikatkjede og privat nøkkel fra forrige ISO?. Last opp et nytt X.509-sertifikat, skriv inn passordet, og klikk på Fortsett.
11

Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret:

  1. Velg Databasetype (PostgreSQL eller Microsoft SQL Server).

    Hvis du velger Microsoft SQL Server, får du et felt for godkjenningstype.

  2. (Kun Microsoft SQL Server ) Velg godkjenningstype:

    • Grunnleggende godkjenning: Du trenger et lokalt SQL Server-kontonavn i Brukernavn -feltet.

    • Windows-godkjenning: Du trenger en Windows-konto i formatet username@DOMAIN i Brukernavn -feltet.

  3. Skriv inn databaseserveradressen i skjemaet : eller :.

    Eksempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan bruke en IP-adresse for grunnleggende godkjenning, hvis nodene ikke kan bruke DNS til å løse vertsnavnet.

    Hvis du bruker Windows-godkjenning, må du angi et fullt kvalifisert domenenavn i formatet dbhost.example.org:1433

  4. Skriv inn Databasenavn.

  5. Skriv inn Brukernavn og Passord til en bruker med alle rettigheter i databasen for nøkkellagring.

12

Velg en TLS-databasetilkoblingsmodus:

Modus

Beskrivelse

Foretrekker TLS (standardalternativ)

HDS-noder krever ikke TLS for å koble til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøker nodene en kryptert tilkobling.

Krev TLS

HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

Krev TLS og bekreft sertifikatsignerer

Denne modusen gjelder ikke for SQL Server-databaser.

  • HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

  • Etter å ha opprettet en TLS-tilkobling, sammenligner noden signeringen av sertifikatet fra databaseserveren med sertifikatmyndigheten i Databaserotsertifikat. Hvis de ikke samsvarer, mister noden tilkoblingen.

Bruk kontrollen Databaserotsertifikat under rullegardinlisten for å laste opp rotsertifikatet for dette alternativet.

Krev TLS og bekreft sertifikatsignerer og vertsnavn

  • HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

  • Etter å ha opprettet en TLS-tilkobling, sammenligner noden signeringen av sertifikatet fra databaseserveren med sertifikatmyndigheten i Databaserotsertifikat. Hvis de ikke samsvarer, mister noden tilkoblingen.

  • Nodene bekrefter også at vertsnavnet i serversertifikatet samsvarer med vertsnavnet i feltet Databasevert og port . Navnene må samsvare nøyaktig, ellers mister noden tilkoblingen.

Bruk kontrollen Databaserotsertifikat under rullegardinlisten for å laste opp rotsertifikatet for dette alternativet.

Når du laster opp rotsertifikatet (om nødvendig) og klikker på Fortsett, tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserveren. Verktøyet bekrefter også sertifikatsigneringen og vertsnavnet, hvis aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan HDS-nodene være i stand til å etablere TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.)

13

På siden Systemlogger konfigurerer du Syslogd-serveren:

  1. Skriv inn URL-adressen til syslog-serveren.

    Hvis serveren ikke kan løses DNS fra nodene for HDS-klyngen, bruker du en IP-adresse i URL-adressen.

    Eksempel:
    udp://10.92.43.23:514 angir logging til Syslogd-verten 10.92.43.23 på UDP-port 514.

  2. Hvis du konfigurerer serveren til å bruke TLS-kryptering, merker du av for Er syslog-serveren konfigurert for SSL-kryptering?.

    Hvis du merker av i denne avmerkingsboksen, må du angi en TCP-URL, for eksempel tcp://10.92.43.23:514.

  3. Fra rullegardinlisten Velg avslutning av syslog-post velger du riktig innstilling for ISO-filen: Velg eller Newline brukes for Graylog og Rsyslog TCP

    • Null byte -- \x00

    • Newline -- \n– Velg dette alternativet for Graylog og Rsyslog TCP.

  4. Klikk på Fortsett.

14

(Valgfritt) Du kan endre standardverdien for noen parametere for databasetilkobling i Avanserte innstillinger. Generelt er denne parameteren den eneste du kanskje vil endre:

app_datasource_connection_pool_maxStørrelse: 10
15

Klikk på Fortsett på skjermen Tilbakestill passord for tjenestekontoer .

Passord for tjenestekontoen har en levetid på ni måneder. Bruk dette skjermbildet når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem til å ugyldiggjøre tidligere ISO-filer.

16

Klikk på Last ned ISO-fil. Lagre filen på et sted som er lett å finne.

17

Ta en sikkerhetskopi av ISO-filen på ditt lokale system.

Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer.

18

Hvis du vil slå av installasjonsverktøyet, skriver du inn CTRL+C.

Hva du skal gjøre nå

Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.

Vi har aldri en kopi av denne nøkkelen og kan ikke hjelpe hvis du mister den.

Installere HDS Host OVA

Bruk denne fremgangsmåten for å opprette en virtuell maskin fra OVA-filen.
1

Bruk VMware vSphere-klienten på datamaskinen for å logge på den virtuelle ESXi-verten.

2

Velg Fil > Distribuer OVF-mal.

3

I veiviseren angir du plasseringen til OVA-filen du lastet ned tidligere, og klikker deretter på Neste.

4

På siden Velg et navn og mappe skriver du inn et Virtuelt maskinnavn for noden (for eksempel «HDS_Node_1»), velger et sted der den virtuelle maskinnodedistribusjonen kan ligge, og klikker deretter på Neste.

5

På siden Velg en beregningsressurs velger du destinasjonsberegningsressursen, og klikker deretter på Neste.

En valideringskontroll kjører. Når den er ferdig, vises maldetaljene.

6

Bekreft maldetaljene, og klikk deretter på Neste.

7

Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon -siden, klikker du på 4 CPU og klikker deretter på Neste.

8

På siden Velg lagring klikker du på Neste for å godta standard diskformat og retningslinjer for lagring av VM.

9

På siden Velg nettverk velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til VM-en.

10

Konfigurer følgende nettverksinnstillinger på siden Tilpass mal :

  • Vertsnavn– angi FQDN (vertsnavn og domene) eller et enkelt ord vertsnavn for noden.

    • Du trenger ikke å angi domenet til å samsvare med domenet du brukte til å skaffe X.509-sertifikatet.

    • For å sikre vellykket registrering til skyen må du bare bruke små bokstaver i FQDN eller vertsnavnet du angir for noden. Kapitalisering støttes ikke på dette tidspunktet.

    • Den totale lengden på FQDN må ikke overstige 64 tegn.

  • IP-adresse– angi IP-adressen for nodens interne grensesnitt.

    Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke.

  • Maske– Angi nettverksmaskens adresse i punkt-desimalnotasjon. For eksempel 255.255.255.0.
  • Gateway– angi gatewayens IP-adresse. En gateway er en nettverksnode som fungerer som et tilgangspunkt til et annet nettverk.
  • DNS-servere – Skriv inn en kommaseparert liste over DNS-servere som håndterer å oversette domenenavn til numeriske IP-adresser. (Opptil 4 DNS-oppføringer er tillatt.)
  • NTP-servere– Angi organisasjonens NTP-server eller en annen ekstern NTP-server som kan brukes i organisasjonen. Standard NTP-servere fungerer kanskje ikke for alle bedrifter. Du kan også bruke en kommadelt liste til å angi flere NTP-servere.

  • Distribuer alle nodene på samme subnett eller VLAN, slik at alle nodene i en klynge kan nås fra klienter i nettverket ditt for administrative formål.

Hvis du vil, kan du hoppe over konfigurasjonen av nettverksinnstillingene og følge trinnene i Konfigurere VM for hybriddatasikkerhet for å konfigurere innstillingene fra nodekonsollen.

Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 7.0. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

11

Høyreklikk på noden VM, og velg deretter Power > Power On.

Programvaren for hybrid datasikkerhet installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden.

Feilsøkingstips

Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen under første oppstart, hvor du ikke kan logge på.

Konfigurere VM for hybriddatasikkerhet

Bruk denne fremgangsmåten til å logge på VM-konsollen for hybriddatasikkerhetsnoden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA ble distribuert.

1

I VMware vSphere-klienten velger du den hybride datasikkerhetsnoden VM og velger fanen Konsoll .

VM starter opp og en melding om pålogging vises. Hvis meldingen om pålogging ikke vises, trykker du på Enter.
2

Bruk følgende standard pålogging og passord for å logge på og endre legitimasjonen:

  1. Pålogging: administrator

  2. Passord: cisco

Siden du logger på VM for første gang, må du endre administratorpassordet.

3

Hvis du allerede har konfigurert nettverksinnstillingene i Installer HDS Host OVA, hopper du over resten av denne prosedyren. Hvis ikke, velger du alternativet Rediger konfigurasjon i hovedmenyen.

4

Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke.

5

(Valgfritt) Endre vertsnavnet, domenet eller NTP-serveren(e) om nødvendig for å samsvare med nettverkspolicyen.

Du trenger ikke å angi domenet til å samsvare med domenet du brukte til å skaffe X.509-sertifikatet.

6

Lagre nettverkskonfigurasjonen og start VM på nytt slik at endringene trer i kraft.

Laste opp og montere konfigurasjons-ISO for HDS

Bruk denne fremgangsmåten til å konfigurere den virtuelle maskinen fra ISO-filen du opprettet med HDS-installasjonsverktøyet.

Før du begynner

Fordi ISO-filen innehar hovednøkkelen, bør den bare eksponeres på "trenger å vite"-basis, for tilgang for virtuelle maskiner for hybriddatasikkerhet og eventuelle administratorer som må gjøre endringer. Sørg for at bare disse administratorene har tilgang til datalageret.

1

Last opp ISO-filen fra datamaskinen:

  1. Klikk på ESXi-serveren i venstre navigasjonsrute til VMware vSphere-klienten.

  2. Klikk på Lagring i Maskinvare-listen i kategorien Konfigurasjon.

  3. Høyreklikk på datalageret for VM-ene i listen Datalagerer, og klikk på Bla gjennom datalageret.

  4. Klikk på ikonet Last opp filer, og klikk deretter på Last opp fil.

  5. Bla til plasseringen der du lastet ned ISO-filen på datamaskinen, og klikk på Åpne.

  6. Klikk på Ja for å godta advarselen om opplasting/nedlasting og lukke dialogboksen for datalager.

2

Montere ISO-fil:

  1. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

  2. Klikk på OK for å godta advarselen om begrensede redigeringsalternativer.

  3. Klikk på CD/DVD-stasjon 1, velg alternativet for montering fra en ISO-fil i datalageret, og bla til plasseringen der du lastet opp ISO-konfigurasjonsfilen.

  4. Kontroller Tilkoblet og Koble til ved strøm på.

  5. Lagre endringene og start den virtuelle maskinen på nytt.

Hva du skal gjøre nå

Hvis IT-policyen krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene har plukket opp konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.

Konfigurere HDS-noden for proxy-integrering

Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybrid datasikkerhet. Hvis du velger en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet, og feilsøke eventuelle problemer.

Før du begynner

1

Skriv inn URL-adressen for HDS-nodeoppsett https://[HDS Node IP or FQDN]/setup i en nettleser, skriv inn administratorlegitimasjonen du har konfigurert for noden, og klikk deretter på Logg på.

2

Gå til Klareringslager og proxy, og velg deretter et alternativ:

  • Ingen proxy – Standardalternativet før du integrerer en proxy. Ingen sertifikatoppdatering er nødvendig.
  • Gjennomsiktig ikke-inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse og bør ikke kreve endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
  • Gjennomsiktig inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTPS-konfigurasjonen er nødvendig på distribusjonen av hybriddatasikkerhet, men HDS-nodene trenger et rotsertifikat for å klarere proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
  • Eksplisitt proxy – Med eksplisitt proxy forteller du klienten (HDS-noder) hvilken proxy-server som skal brukes, og dette alternativet støtter flere godkjenningstyper. Når du har valgt dette alternativet, må du angi følgende informasjon:

    1. Proxy-IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

    3. Proxy Protocol – Velg http (viser og kontrollerer alle forespørsler som mottas fra klienten) eller https (gir en kanal til serveren, og klienten mottar og validerer serverens sertifikat). Velg et alternativ basert på hva proxy-serveren støtter.

    4. Godkjenningstype– velg blant følgende godkjenningstyper:

      • Ingen – Ingen ytterligere godkjenning er nødvendig.

        Tilgjengelig for HTTP- eller HTTPS-proxyer.

      • Grunnleggende – Brukes for en HTTP-brukeragent til å oppgi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

        Tilgjengelig for HTTP- eller HTTPS-proxyer.

        Hvis du velger dette alternativet, må du også angi brukernavn og passord.

      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

        Kun tilgjengelig for HTTPS-proxyer.

        Hvis du velger dette alternativet, må du også angi brukernavn og passord.

Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en eksplisitt HTTP-proxy med grunnleggende godkjenning eller en eksplisitt HTTPS-proxy.

3

Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen.

Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på chevron-pilen ved navnet på sertifikatutstederen for å få mer informasjon, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt.

4

Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen.

Hvis tilkoblingstesten mislykkes, får du en feilmelding som viser årsaken og hvordan du kan løse problemet.

Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne tilstanden forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene og ser Slå av blokkert ekstern DNS-oppløsningsmodus.

5

Etter at tilkoblingstesten er bestått, bare for eksplisitt proxy satt til https, slår du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen tar 15 sekunder før den trer i kraft.

6

Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en eksplisitt HTTP-proxy), les ledeteksten og klikk deretter på Installer hvis du er klar.

Noden starter på nytt innen noen få minutter.

7

Etter at noden har startet på nytt, logger du på igjen om nødvendig og åpner deretter Oversikt -siden for å sjekke tilkoblingskontrollene for å sikre at alle er i grønn status.

Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det er tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen.

Registrer den første noden i klyngen

Denne oppgaven tar den generiske noden du opprettet i Konfigurer VM for hybrid datasikkerhet, registrerer noden i Webex-skyen og gjør den om til en hybrid datasikkerhetsnode.

Når du registrerer din første node, oppretter du en klynge som noden er tilordnet til. En klynge inneholder én eller flere noder som er distribuert for å gi redundans.

Før du begynner

  • Når du begynner å registrere en node, må du fullføre den innen 60 minutter, eller du må starte på nytt.

  • Sørg for at eventuelle popup-blokkere i nettleseren er deaktivert, eller at du tillater et unntak for admin.webex.com.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du kortet for hybriddatasikkerhet og klikker på Konfigurer.

4

Klikk på Legg til en ressurs på siden som åpnes.

5

I det første feltet i Legg til en node -kortet skriver du inn et navn på klyngen du vil tilordne hybriddatasikkerhetsnoden til.

Vi anbefaler at du navngir en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

6

I det andre feltet skriver du inn den interne IP-adressen eller det fullstendige domenenavnet (FQDN) til noden og klikker på Legg til nederst på skjermen.

Denne IP-adressen eller FQDN skal samsvare med IP-adressen eller vertsnavnet og domenet du brukte i Konfigurere VM for hybriddatasikkerhet.

Det vises en melding som angir at du kan registrere noden din til Webex.
7

Klikk på Gå til node.

Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelse til Webex-organisasjonen din for å få tilgang til noden din.

8

Merk av i avkrysningsboksen Gi tilgang til din hybride datasikkerhetsnode , og klikk deretter på Fortsett.

Kontoen din er validert, og meldingen «Registreringen er fullført» indikerer at noden din nå er registrert i Webex-skyen.
9

Klikk på koblingen eller lukk fanen for å gå tilbake til Partner Hub Hybrid Data Security-siden.

På siden Hybriddatasikkerhet vises den nye klyngen som inneholder noden du registrerte, under Ressurser -fanen. Noden vil automatisk laste ned den nyeste programvaren fra skyen.

Opprett og registrer flere noder

Hvis du vil legge til flere noder i klyngen, oppretter du ganske enkelt flere VM-er og monterer den samme ISO-konfigurasjonsfilen og registrerer noden. Vi anbefaler at du har minst 3 noder.

Før du begynner

  • Når du begynner å registrere en node, må du fullføre den innen 60 minutter, eller du må starte på nytt.

  • Sørg for at eventuelle popup-blokkere i nettleseren er deaktivert, eller at du tillater et unntak for admin.webex.com.

1

Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA.

2

Konfigurer den første konfigurasjonen på den nye VM-en, og gjenta trinnene i Konfigurer VM for hybriddatasikkerhet.

3

På den nye VM gjentar du trinnene i Last opp og monter HDS-konfigurasjons-ISO.

4

Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrasjon etter behov for den nye noden.

5

Registrer noden.

  1. I https://admin.webex.com velger du Tjenester fra menyen til venstre på skjermen.

  2. Finn kortet for hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

    Siden Ressurser for hybriddatasikkerhet vises.

  3. Den nylig opprettede klyngen vises på Ressurser -siden.

  4. Klikk på klyngen for å vise nodene som er tilordnet klyngen.

  5. Klikk på Legg til en node til høyre på skjermen.

  6. Skriv inn den interne IP-adressen eller fullt kvalifisert domenenavn (FQDN) til noden, og klikk på Legg til.

    En side åpnes med en melding om at du kan registrere noden din i Webex-skyen. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi organisasjonen tillatelse til å få tilgang til noden din.

  7. Merk av i avkrysningsboksen Gi tilgang til din hybride datasikkerhetsnode , og klikk deretter på Fortsett.

    Kontoen din er validert, og meldingen «Registreringen er fullført» indikerer at noden din nå er registrert i Webex-skyen.

  8. Klikk på koblingen eller lukk fanen for å gå tilbake til Partner Hub Hybrid Data Security-siden.

    Node lagt til popup-melding vises også nederst på skjermen i Partner Hub.

    Noden din er registrert.

Administrere leietakerorganisasjoner for hybriddatasikkerhet for flere leietakere

Aktivere HDS for flere leietakere på Partner Hub

Denne oppgaven sikrer at alle brukere av kundeorganisasjonene kan begynne å bruke HDS for lokale krypteringsnøkler og andre sikkerhetstjenester.

Før du begynner

Sørg for at du har fullført konfigureringen av HDS-klyngen for flere leietakere med det nødvendige antallet noder.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Rediger innstillinger.

4

Klikk på Aktiver HDS på kortet HDS-status .

Legg til leietakerorganisasjoner i Partner Hub

I denne oppgaven tilordner du kundeorganisasjoner til din hybride datasikkerhetsklynge.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

Finn hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

4

Klikk på klyngen du vil at en kunde skal tilordnes til.

5

Gå til fanen Tilordnede kunder .

6

Klikk på Legg til kunder.

7

Velg kunden du vil legge til, fra rullegardinmenyen.

8

Klikk på Legg til, kunden blir lagt til i klyngen.

9

Gjenta trinn 6 til 8 for å legge til flere kunder i klyngen.

10

Klikk på Ferdig nederst på skjermen når du har lagt til kundene.

Hva du skal gjøre nå

Kjør HDS-installasjonsverktøyet som beskrevet i Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-installasjonsverktøyet for å fullføre installasjonsprosessen.

Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-installasjonsverktøyet

Før du begynner

Tilordne kunder til riktig klynge som beskrevet i Legg til leietakerorganisasjoner i Partner Hub. Kjør HDS-installasjonsverktøyet for å fullføre installasjonsprosessen for de nylig tillagte kundeorganisasjonene.

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, for eksempel disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i godkjenningspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du distribusjonen av PostgreSQL eller SQL Server for TLS.

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

Klikk på Ja på siden ISO-import.

10

Velg ISO-filen i nettleseren og last den opp.

Sørg for tilkobling til databasen din for å utføre CMK-administrasjon.
11

Gå til fanen Leietakers CMK-administrasjon , der du finner følgende tre måter å administrere leietakers CMK-er på.

  • Opprett CMK for alle organisasjoner eller Opprett CMK – Klikk på denne knappen på banneret øverst på skjermen for å opprette CMK for alle organisasjoner som nylig er lagt til.
  • Klikk på knappen Administrer CMK-er til høyre på skjermen, og klikk på Opprett CMK-er for å opprette CMK-er for alle nylig tillagte organisasjoner.
  • Klikk på … nær CMK-administrasjonen som venter på status for en bestemt organisasjon i tabellen, og klikk på Opprett CMK for å opprette CMK for den organisasjonen.
12

Når CMK opprettes, endres statusen i tabellen fra CMK-administrasjon venter til CMK-administrert.

13

Hvis opprettelsen av CMK mislykkes, vises en feilmelding.

Fjern leietakerorganisasjoner

Før du begynner

Når de er fjernet, vil ikke brukere av kundeorganisasjoner kunne utnytte HDS for sine krypteringsbehov og vil miste alle eksisterende områder. Før du fjerner kundeorganisasjoner, må du kontakte din Cisco-partner eller kontoadministrator.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

Finn hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

4

I fanen Ressurser klikker du på klyngen du vil fjerne kundeorganisasjoner fra.

5

Klikk på Tilordnede kunder på siden som åpnes.

6

Fra listen over kundeorganisasjoner som vises, klikker du på til høyre for kundeorganisasjonen du vil fjerne, og klikker på Fjern fra klynge.

Hva du skal gjøre nå

Fullfør fjerningsprosessen ved å tilbakekalle kundeorganisasjonens CMK-er, som beskrevet i Tilbakekall CMK-er for leiere som er fjernet fra HDS.

Tilbakekall CMK-er for leiere som er fjernet fra HDS.

Før du begynner

Fjern kunder fra den aktuelle klyngen som beskrevet i Fjern leietakerorganisasjoner. Kjør HDS-installasjonsverktøyet for å fullføre fjerningsprosessen for kundeorganisasjonene som ble fjernet.

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, for eksempel disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i godkjenningspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du distribusjonen av PostgreSQL eller SQL Server for TLS.

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

Klikk på Ja på siden ISO-import.

10

Velg ISO-filen i nettleseren og last den opp.

11

Gå til fanen Leietakers CMK-administrasjon , der du finner følgende tre måter å administrere leietakers CMK-er på.

  • Tilbakekall CMK for alle organisasjoner eller Tilbakekall CMK – Klikk på denne knappen på banneret øverst på skjermen for å tilbakekalle CMK for alle organisasjoner som ble fjernet.
  • Klikk på knappen Administrer CMK-er til høyre på skjermen, og klikk på Tilbakekall CMK-er for å tilbakekalle CMK-er for alle organisasjoner som ble fjernet.
  • Klikk på i nærheten av CMK for å bli tilbakekalt status for en bestemt organisasjon i tabellen, og klikk på Tilbakekall CMK for å tilbakekalle CMK for den bestemte organisasjonen.
12

Når CMK-opphevelse er fullført, vises ikke kundeorganisasjonen lenger i tabellen.

13

Hvis CMK-tilbakekalling mislykkes, vises en feil.

Test distribusjonen av hybrid datasikkerhet

Test distribusjonen av hybrid datasikkerhet

Bruk denne fremgangsmåten til å teste scenarier for kryptering av hybriddatasikkerhet for flere leietakere.

Før du begynner

  • Konfigurer distribusjonen av hybriddatasikkerhet for flere leietakere.

  • Sørg for at du har tilgang til syslog for å bekrefte at viktige forespørsler sendes til din distribusjon av hybriddatasikkerhet for flere leietakere.

1

Nøkler for et gitt område angis av skaperen av området. Logg på Webex-appen som en av brukerne av kundeorganisasjonen, og opprett deretter et område.

Hvis du deaktiverer distribusjonen av hybriddatasikkerhet, er ikke innhold i områder som brukere oppretter, lenger tilgjengelig når de klientbufrede kopiene av krypteringsnøklene er erstattet.

2

Send meldinger til det nye området.

3

Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til distribusjonen av hybriddatasikkerhet.

  1. Hvis du vil se etter en bruker først å opprette en sikker kanal til KMS, filtrerer du på kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du bør finne en oppføring som følgende (identifikatorer forkortet for lesbarhet):
    2020-07-21 17:35:34.562 (+0000) INFORMASJON KMS [pool-14-thread-1] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Kjælebarn: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Hvis du vil se etter en bruker som ber om en eksisterende nøkkel fra KMS, filtrerer du på kms.data.method=retrieve og kms.data.type=KEY:

    Du bør finne en oppføring som:
    2020-07-21 17:44:19.889 (+0000) INFORMASJON KMS [pool-14-thread-31] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Hvis du vil se etter en bruker som ber om å opprette en ny KMS-nøkkel, filtrerer du på kms.data.method=create og kms.data.type=KEY_COLLECTION:

    Du bør finne en oppføring som:
    2020-07-21 17:44:21.975 (+0000) INFORMASJON KMS [pool-14-thread-33] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Hvis du vil se etter en bruker som ber om opprettelse av et nytt KMS-ressursobjekt (KRO) når et område eller en annen beskyttet ressurs opprettes, filtrerer du på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

    Du bør finne en oppføring som: 
    2020-07-21 17:44:22.808 (+0000) INFORMASJON KMS [pool-15-thread-1] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåk sikkerhets helse for hybriddata

En statusindikator i Partner Hub viser deg om alt er bra med distribusjonen av hybriddatasikkerhet for flere leietakere. For mer proaktive varsler, registrer deg for e-postvarsler. Du blir varslet når det er alarmer eller programvareoppgraderinger som påvirker tjenesten.
1

I Partner Hub velger du Tjenester fra menyen til venstre på skjermen.

2

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Rediger innstillinger.

Siden Innstillinger for hybriddatasikkerhet vises.
3

Skriv inn én eller flere e-postadresser atskilt med komma i delen E-postvarsler, og trykk på Enter.

Administrer HDS-distribusjonen din

Administrer HDS-distribusjon

Bruk oppgavene som er beskrevet her for å administrere distribusjonen av hybriddatasikkerhet.

Angi tidsplan for klyngeoppgradering

Programvareoppgraderinger for hybrid datasikkerhet utføres automatisk på klyngenivå, noe som sikrer at alle noder alltid kjører samme programvareversjon. Oppgraderinger utføres i henhold til oppgraderingsplanen for klyngen. Når en programvareoppgradering blir tilgjengelig, har du muligheten til å oppgradere klyngen manuelt før det planlagte oppgraderingstidspunktet. Du kan angi en bestemt oppgraderingsplan eller bruke standardplanen kl. 3:00 AM Daily USA: Amerika/Los Angeles. Du kan også velge å utsette en kommende oppgradering, om nødvendig.

Slik angir du oppgraderingsplanen:

1

Logg på Partner Hub.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Konfigurer

4

Velg klyngen på siden Hybrid Data Security Resources.

5

Klikk på fanen Klyngeinnstillinger .

6

Velg klokkeslett og tidssone for oppgraderingsplanen på siden Klyngeinnstillinger under Oppgraderingsplan.

Merk: Under tidssonen vises neste tilgjengelige oppgraderingsdato og -klokkeslett. Du kan utsette oppgraderingen til neste dag ved å klikke på Utsett med 24 timer.

Endre nodekonfigurasjonen

Av og til må du kanskje endre konfigurasjonen av den hybride datasikkerhetsnoden av en grunn som:

  • Endring av x.509-sertifikater på grunn av utløp eller andre årsaker.

    Vi støtter ikke endring av CN-domenenavnet for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.

  • Oppdaterer databaseinnstillinger for å endre til en kopi av PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt måte. Start en ny distribusjon av hybriddatasikkerhet for å bytte databasemiljøet.

  • Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.

Av sikkerhetshensyn bruker Hybrid Data Security også passord for tjenestekontoer som har en levetid på ni måneder. Når HDS-installasjonsverktøyet har generert disse passordene, distribuerer du dem til hver av HDS-nodene i ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløpsdato, mottar du et varsel fra Webex-teamet om å tilbakestille passordet for maskinkontoen din. (E-posten inneholder teksten "Bruk maskinkontoens API til å oppdatere passordet.") Hvis passordene dine ikke er utløpt ennå, gir verktøyet deg to alternativer:

  • Myk tilbakestilling– De gamle og de nye passordene fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.

  • Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.

Hvis passordene utløper uten tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.

Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.

Før du begynner

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fullstendige partneradministratorrettigheter.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i 1.e. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i godkjenningspolicyen.

1

Kjør HDS-installasjonsverktøyet ved hjelp av Docker på en lokal maskin.

  1. På maskinens kommandolinje angir du riktig kommando for miljøet:

    I vanlige miljøer:

    docker rmi ciscocitg/hds-oppsett:stabil

    I FedRAMP-miljøer:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

  2. Skriv inn følgende for å logge på Docker-bilderegisteret:

    innlogging for dokkers brukerstøtte

  3. Skriv inn denne hashen når du blir bedt om passord:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Last ned det nyeste stabile bildet for miljøet ditt:

    I vanlige miljøer:

    hengslet trekk ciscocitg/hds-oppsett:stabil

    I FedRAMP-miljøer:

    hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil

    Sørg for at du bruker det nyeste installasjonsverktøyet for denne prosedyren. Versjoner av verktøyet som er opprettet før 22. februar 2018, har ikke skjermbildene for tilbakestilling av passord.

  5. Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

    • I vanlige miljøer uten proxy:

      docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

    • I vanlige miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I vanlige miljøer med HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljøer uten proxy:

      docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

    • I FedRAMP-miljøer med HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Når containeren kjører, ser du "Express server lytter på port 8080."

  6. Bruk en nettleser til å koble til localhost, http://127.0.0.1:8080.

    Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

  7. Når du blir bedt om det, skriver du inn påloggingslegitimasjonen til Partner Hub-kunden og klikker deretter på Godta for å fortsette.

  8. Importer gjeldende ISO-konfigurasjonsfil.

  9. Følg instruksjonene for å fullføre verktøyet og laste ned den oppdaterte filen.

    Hvis du vil slå av installasjonsverktøyet, skriver du inn CTRL+C.

  10. Opprett en sikkerhetskopi av den oppdaterte filen i et annet datasenter.

2

Hvis du bare kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den ved hjelp av den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, kan du se Opprette og registrere flere noder.

  1. Installer HDS-verten OVA.

  2. Sett opp HDS VM.

  3. Monter den oppdaterte konfigurasjonsfilen.

  4. Registrer den nye noden i Partner Hub.

3

Montere ISO-filen for eksisterende HDS-noder som kjører den eldre konfigurasjonsfilen. Utfør følgende prosedyre på hver node igjen, og oppdater hver node før du slår av neste node:

  1. Slå av den virtuelle maskinen.

  2. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

  3. Klikk på CD/DVD-stasjon 1, velg alternativet for montering fra en ISO-fil, og bla til plasseringen der du lastet ned den nye ISO-konfigurasjonsfilen.

  4. Merk av for Koble til ved strøm på.

  5. Lagre endringene og strøm på den virtuelle maskinen.

4

Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen.

Slå av blokkert ekstern DNS-oppløsningsmodus

Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modus for blokkert ekstern DNS-oppløsning.

Hvis nodene dine kan løse offentlige DNS-navn gjennom interne DNS-servere, kan du slå av denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.

Før du begynner

Sørg for at dine interne DNS-servere kan løse offentlige DNS-navn, og at nodene dine kan kommunisere med dem.
1

Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/oppsett, for eksempel https://192.0.2.0/setup), angi administratorlegitimasjonen du har konfigurert for noden, og klikk deretter på Logg på.

2

Gå til Oversikt (standardsiden).

Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja.

3

Gå til siden Klareringslager og proxy .

4

Klikk på Kontroller proxy-tilkobling.

Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og vil forbli i denne modusen. Hvis ikke, etter at du har startet noden på nytt og gått tilbake til Oversikt -siden, skal Blokkert ekstern DNS-oppløsning settes til Nei.

Hva du skal gjøre nå

Gjenta proxy-tilkoblingstesten på hver node i klyngen for hybriddatasikkerhet.

Fjerne en node

Bruk denne fremgangsmåten for å fjerne en hybrid datasikkerhetsnode fra Webex-skyen. Når du har fjernet noden fra klyngen, sletter du den virtuelle maskinen for å hindre ytterligere tilgang til sikkerhetsdataene dine.
1

Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuelle maskinen.

2

Fjern noden:

  1. Logg på Partner Hub, og velg deretter Tjenester.

  2. Klikk på Vis alle på kortet for hybriddatasikkerhet for å vise siden for hybriddatasikkerhetsressurser.

  3. Velg klyngen din for å vise oversiktspanelet.

  4. Klikk på noden du vil fjerne.

  5. Klikk på Avregistrer denne noden i panelet som vises til høyre

  6. Du kan også avregistrere noden ved å klikke … til høyre for noden og velge Fjern denne noden.

3

Slett VM-en i vSphere-klienten. (Høyreklikk på VM i venstre navigasjonsrute, og klikk på Slett.)

Hvis du ikke sletter VM-en, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke VM til å få tilgang til sikkerhetsdataene dine.

Katastrofegjenoppretting ved hjelp av standbydatasenter

Den mest kritiske tjenesten som din hybride datasikkerhetsklynge tilbyr, er oppretting og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet hybriddatasikkerhet, rutes nye forespørsler om nøkkeloppretting til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.

Fordi klyngen utfører den kritiske funksjonen med å levere disse nøklene, er det viktig at klyngen forblir i drift og at riktige sikkerhetskopier opprettholdes. Tap av hybriddatasikkerhetsdatabasen eller konfigurasjons-ISO som brukes for skjemaet, vil føre til UGJENOPPRETTELIG TAP av kundeinnhold. Følgende fremgangsmåter er obligatoriske for å forhindre et slikt tap:

Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenteret blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til standbydatasenteret.

Før du begynner

Avregistrer alle noder fra Partner Hub som nevnt i Fjern en node. Bruk den nyeste ISO-filen som ble konfigurert mot nodene i klyngen som tidligere var aktiv, til å utføre failover-prosedyren som er nevnt nedenfor.
1

Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-verter.

2

Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne.

3

Ta en sikkerhetskopi av ISO-filen på ditt lokale system. Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer.

4

Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

5

Klikk på Rediger innstillinger >CD/DVD-stasjon 1 og velg ISO-fil for datalager.

Kontroller at Tilkoblet og Koble til ved påslått er merket av slik at oppdaterte konfigurasjonsendringer kan tre i kraft etter at nodene er startet.

6

Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 15 minutter.

7

Registrer noden i Partner Hub. Se Registrer den første noden i klyngen.

8

Gjenta prosessen for hver node i standbydatasenteret.

Hva du skal gjøre nå

Hvis det primære datasenteret blir aktivt igjen etter failover, avregistrerer du nodene i standby-datasenteret og gjentar prosessen med å konfigurere ISO og registrere noder i det primære datasenteret som nevnt ovenfor.

(Valgfritt) Fjern ISO etter HDS-konfigurasjon

Standard HDS-konfigurasjon kjøres med ISO-montert. Men noen kunder foretrekker ikke å forlate ISO-filer kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-nodene har tatt opp den nye konfigurasjonen.

Du bruker fortsatt ISO-filene til å foreta konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO gjennom installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en igjen med denne fremgangsmåten.

Før du begynner

Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.

1

Slå av en av HDS-nodene dine.

2

Velg HDS-noden i vCenter Server Appliance.

3

Velg Rediger innstillinger > CD/DVD-stasjon og fjern merket for ISO-fil for datalager.

4

Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 20 minutter.

5

Gjenta for hver HDS-node i sin tur.

Feilsøke hybrid datasikkerhet

Vis varsler og feilsøking

En distribusjon av hybriddatasikkerhet anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller klyngen fungerer så sakte at forespørslene blir tidsavbrutt. Hvis brukere ikke kan nå din hybride datasikkerhetsklynge, opplever de følgende symptomer:

  • Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)

  • Meldinger og områdetitler kan ikke dekrypteres for:

    • Nye brukere lagt til i et område (kan ikke hente nøkler)

    • Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)

  • Eksisterende brukere i et område vil fortsette å kjøre vellykket så lenge klientene deres har en hurtigbuffer med krypteringsnøklene

Det er viktig at du overvåker den hybride datasikkerhetsklyngen riktig og adresserer eventuelle varsler umiddelbart for å unngå tjenesteavbrudd.

Varsler

Hvis det er et problem med oppsettet av hybriddatasikkerhet, viser Partner Hub varsler til organisasjonens administrator og sender e-post til den konfigurerte e-postadressen. Varslene dekker mange vanlige scenarier.

Tabell 1. Vanlige problemer og fremgangsmåten for å løse dem

Varsel

Handling

Feil ved tilgang til lokal database.

Se etter databasefeil eller lokale nettverksproblemer.

Feil ved lokal databasetilkobling.

Kontroller at databaseserveren er tilgjengelig, og at riktig tjenestekontolegitimasjon ble brukt i nodekonfigurasjonen.

Feil ved tilgang til skytjeneste.

Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling.

Fornye registrering av skytjeneste.

Registrering til skytjenester ble avbrutt. Fornyelse av registrering pågår.

Registrering av skytjeneste avbrutt.

Registrering til skytjenester avsluttet. Tjenesten er stengt.

Tjenesten er ikke aktivert ennå.

Aktiver HDS i Partner Hub.

Konfigurert domene samsvarer ikke med serversertifikatet.

Kontroller at serversertifikatet samsvarer med det konfigurerte tjenesteaktiveringsdomenet.

Den mest sannsynlige årsaken er at sertifikatets CN nylig ble endret og nå er forskjellig fra CN som ble brukt under den første installasjonen.

Kunne ikke autentisere seg til skytjenester.

Sjekk for nøyaktighet og mulig utløp av legitimasjon for tjenestekontoen.

Kunne ikke åpne lokal nøkkelbutikkfil.

Kontroller integritet og passordnøyaktighet på den lokale nøkkelbutikkfilen.

Det lokale serversertifikatet er ugyldig.

Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans.

Kan ikke legge ut måledata.

Kontroller lokal nettverkstilgang til eksterne skytjenester.

/media/configdrive/hds-katalog finnes ikke.

Kontroller konfigurasjonen av ISO-monteringen på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å monteres ved omstart, og at den monteres.

Oppsett av leietakerorganisasjon er ikke fullført for de tilførte organisasjonene

Fullfør oppsettet ved å opprette CMK-er for nylig tillagte leietakerorganisasjoner ved hjelp av HDS-installasjonsverktøyet.

Oppsett av leietakerorganisasjon er ikke fullført for fjernede organisasjoner

Fullfør oppsettet ved å tilbakekalle CMK-er for leietakerorganisasjoner som ble fjernet ved hjelp av HDS-installasjonsverktøyet.

Feilsøke hybrid datasikkerhet

Bruk følgende generelle retningslinjer når du feilsøker problemer med hybriddatasikkerhet.
1

Se gjennom Partner Hub for eventuelle varsler og fikse eventuelle elementer du finner der. Se bildet nedenfor for referanse.

2

Se gjennom syslog-serverens utdata for aktivitet fra distribusjonen av hybriddatasikkerhet. Filtrer etter ord som "Advarsel" og "Feil" for å hjelpe til med feilsøking.

3

Kontakt Ciscos kundestøtte.

Andre merknader

Kjente problemer for hybrid datasikkerhet

  • Hvis du avslutter klyngen for hybriddatasikkerhet (ved å slette den i Partner Hub eller ved å avslutte alle noder), mister konfigurasjons-ISO-filen eller mister tilgangen til nøkkelbutikkdatabasen, kan ikke Webex-appbrukere i kundeorganisasjoner lenger bruke områder under Personer-listen sin som ble opprettet med nøkler fra KMS. Vi har for øyeblikket ingen løsning eller løsning på dette problemet, og vi oppfordrer deg til ikke å avslutte HDS-tjenestene når de håndterer aktive brukerkontoer.

  • En klient som har en eksisterende ECDH-tilkobling til en KMS opprettholder denne tilkoblingen i en tidsperiode (sannsynligvis én time).

Bruk OpenSSL til å generere en PKCS12-fil

Før du begynner

  • OpenSSL er et verktøy som kan brukes til å lage PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi støtter ikke eller fremmer en måte fremfor en annen.

  • Hvis du velger å bruke OpenSSL, tilbyr vi denne prosedyren som en veiledning for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i X.509-sertifikatkrav. Forstå disse kravene før du fortsetter.

  • Installer OpenSSL i et støttet miljø. Se https://www.openssl.org for programvare og dokumentasjon.

  • Opprett en privat nøkkel.

  • Start denne prosedyren når du mottar serversertifikatet fra Certificate Authority (CA).

1

Når du mottar serversertifikatet fra din CA, lagrer du det som hdsnode.pem.

2

Vis sertifikatet som tekst og bekreft detaljene.

openssl x509 -tekst -noout -i hdsnode.pem

3

Bruk et tekstredigeringsprogram til å opprette en sertifikatbuntfil kalt hdsnode-bundle.pem. Pakkefilen må inneholde serversertifikatet, eventuelle mellomliggende CA-sertifikater og rot-CA-sertifikatene i formatet nedenfor:

-----start sertifikat------ ### Serversertifikat ### -----end sertifikat------------ start sertifikat----- ### Mellomliggende CA-sertifikat. ### -----end sertifikat------------ start sertifikat----- ### Rot-CA-sertifikat. ### -----end sertifikat-----

4

Opprett .p12-filen med det vennlige navnet kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontroller serversertifikatdetaljene.

  1. openssl pkcs12 -i eno-dsnode.p12

  2. Skriv inn et passord når du blir bedt om å kryptere den private nøkkelen slik at den blir oppført i utdata. Deretter bekrefter du at den private nøkkelen og det første sertifikatet inkluderer linjene vennligeName: kms-privat nøkkel.

    Eksempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Angi importpassord: MAC bekreftet OK Bag-attributter friendlyName: kms-privat nøkkel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nøkkelattributter:  Angi PEM-passfrase: Bekreft – angi PEM-passfrase: -----BEGIN KRYPTERT PRIVAT NØKKEL-----  -----END KRYPTERT PRIVAT NØKKEL----- Bag Attributter friendlyName: kms-privat nøkkel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=La oss kryptere/CN=La oss kryptere autoritet X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Posens attributter friendlyName: CN=La oss kryptere myndighet X3,O=La oss kryptere,C=US subject=/C=US/O=La oss kryptere myndighet X3 utsteder=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE------

Hva du skal gjøre nå

Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet. Du bruker hdsnode.p12 -filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-verter.

Du kan bruke disse filene på nytt for å be om et nytt sertifikat når det opprinnelige sertifikatet utløper.

Trafikk mellom HDS-nodene og skyen

Utgående metrikkinnsamlingstrafikk

Nodene for hybriddatasikkerhet sender visse målinger til Webex-skyen. Disse inkluderer systemmålinger for maks. heap, heap brukt, CPU-belastning og antall tråder, målinger på synkrone og asynkrone tråder, målinger på varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller lengde på en forespørselskø, målinger på datalageret og krypteringstilkoblingsmålinger. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).

Innkommende trafikk

Nodene for hybriddatasikkerhet mottar følgende typer innkommende trafikk fra Webex-skyen:

  • Krypteringsforespørsler fra klienter som rutes av krypteringstjenesten

  • Oppgraderinger til nodeprogramvaren

Konfigurere Squid-proxyer for hybriddatasikkerhet

Websocket kan ikke koble til via Squid-proxy

Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av websocket-tilkoblinger (wss:) som hybriddatasikkerhet krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss: trafikk for riktig drift av tjenestene.

Squid 4 og 5

Legg til on_unsupported_protocol direktivet i squid.conf:

on_unsupported_protocol tunnel alle

Squid 3.5.27

Vi testet hybriddatasikkerhet med følgende regler lagt til i squid.conf. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.

acl wssMercuryConnection ssl::server_name_regex mercury-tilkobling ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump titte step1 alle ssl_bump stirre step2 alle ssl_bump bump step3 alle

Ny og endret informasjon

Ny og endret informasjon

Denne tabellen dekker nye funksjoner eller funksjonalitet, endringer i eksisterende innhold og eventuelle store feil som ble løst i distribusjonsveiledningen for hybriddatasikkerhet for flere leietakere.

Dato

Endringer gjort

30. januar 2025

La til SQL-serverversjon 2022 i listen over støttede SQL-servere i Krav til databaseserver.

15. januar 2025

Lagt til begrensninger for hybriddatasikkerhet for flere leietakere.

08. januar 2025

La til en merknad i Utfør innledende konfigurering og nedlasting av installasjonsfiler som sier at det er et viktig trinn i installasjonsprosessen å klikke på Konfigurer på HDS-kortet i Partner Hub.

07. januar 2025

Oppdaterte krav til virtuell vert, oppgaveflyt for distribusjon av hybrid datasikkerhet og Installer HDS Host OVA for å vise nye krav til ESXi 7.0.

13. desember 2024

Først publisert.

Deaktivere hybriddatasikkerhet for flere leietakere

Oppgaveflyt for deaktivering av HDS for flere leietakere

Følg disse trinnene for å deaktivere HDS for flere leietakere fullstendig.

Før du begynner

Denne oppgaven skal bare utføres av en fullstendig partneradministrator.
1

Fjern alle kunder fra alle klyngene dine, som nevnt i Fjern leietakerorganisasjoner.

2

Tilbakekall CMK-er for alle kunder, som nevnt i Tilbakekall CMK-er for leiere som er fjernet fra HDS..

3

Fjern alle noder fra alle klyngene dine, som nevnt i Fjern en node.

4

Slett alle klyngene dine fra Partner Hub ved hjelp av én av følgende to metoder.

  • Klikk på klyngen du vil slette, og velg Slett denne klyngen øverst til høyre på oversiktssiden.
  • På Ressurser-siden klikker du på … til høyre for en klynge, og velger Fjern klynge.
5

Klikk på fanen Innstillinger på oversiktssiden for hybriddatasikkerhet, og klikk på Deaktiver HDS på HDS-statuskortet.

Kom i gang med hybriddatasikkerhet for flere leietakere

Oversikt over hybriddatasikkerhet for flere leietakere

Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er innholdskryptering fra ende-til-ende, aktivert av Webex-appklienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografiske nøkler som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.

Som standard får alle Webex-appkunder ende-til-ende-kryptering med dynamiske nøkler lagret i skyen KMS, i Ciscos sikkerhetsområde. Hybrid Data Security flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, så ingen andre enn deg har nøklene til ditt krypterte innhold.

Hybriddatasikkerhet med flere leietakere gjør det mulig for organisasjoner å utnytte HDS gjennom en klarert lokal partner, som kan fungere som tjenesteleverandør og administrere lokal kryptering og andre sikkerhetstjenester. Dette oppsettet gjør det mulig for partnerorganisasjonen å ha full kontroll over distribusjon og administrasjon av krypteringsnøkler og sikrer at brukerdata fra kundeorganisasjoner er trygge mot ekstern tilgang. Partnerorganisasjoner setter opp HDS-forekomster og oppretter HDS-klynger etter behov. Hver forekomst kan støtte flere kundeorganisasjoner i motsetning til en vanlig HDS-distribusjon som er begrenset til én enkelt organisasjon.

Selv om partnerorganisasjoner har kontroll over distribusjon og administrasjon, har de ikke tilgang til data og innhold som genereres av kunder. Denne tilgangen er begrenset til kundeorganisasjoner og deres brukere.

Dette gjør det også mulig for mindre organisasjoner å utnytte HDS, siden tjeneste for nøkkeladministrasjon og sikkerhetsinfrastruktur som datasentre eies av den klarerte lokale partneren.

Hvordan hybriddatasikkerhet for flere leietakere gir datasuverenitet og datakontroll

  • Brukergenerert innhold er beskyttet mot ekstern tilgang, for eksempel skytjenesteleverandører.
  • Lokale klarerte partnere administrerer krypteringsnøklene til kunder de allerede har etablert relasjoner med.
  • Alternativ for lokal teknisk støtte, hvis den leveres av partneren.
  • Støtter innhold i møter, meldinger og anrop.

Dette dokumentet er ment å hjelpe partnerorganisasjoner med å konfigurere og administrere kunder under et hybriddatasikkerhetssystem for flere leietakere.

Begrensninger for hybriddatasikkerhet for flere leietakere

  • Partnerorganisasjoner kan ikke ha noen eksisterende HDS-distribusjon aktiv i Control Hub.
  • Leier- eller kundeorganisasjoner som ønsker å bli administrert av en partner, må ikke ha noen eksisterende HDS-distribusjon i Control Hub.
  • Når Multi-Tenant HDS er distribuert av partneren, begynner alle brukere av kundeorganisasjoner samt brukere av partnerorganisasjonen å bruke Multi-Tenant HDS for sine krypteringstjenester.

    Partnerorganisasjonen og kundeorganisasjonene de administrerer, vil være på samme HDS-distribusjon for flere leietakere.

    Partnerorganisasjonen vil ikke lenger bruke sky-KMS etter at multi-tenant HDS er distribuert.

  • Det finnes ingen mekanisme for å flytte nøkler tilbake til Cloud KMS etter en HDS-distribusjon.
  • For øyeblikket kan hver HDS-distribusjon for flere leietakere bare ha én klynge, med flere noder under den.
  • Administratorroller har visse begrensninger. Se avsnittet nedenfor for detaljer.

Roller i hybriddatasikkerhet for flere leietakere

  • Fullstendig partneradministrator – Kan administrere innstillinger for alle kunder som partneren administrerer. Kan også tilordne administratorroller til eksisterende brukere i organisasjonen og tilordne bestemte kunder som skal administreres av partneradministratorer.
  • Partneradministrator – Kan administrere innstillinger for kunder som administratoren har klargjort, eller som er tilordnet brukeren.
  • Fullverdig administrator – Administrator for partnerorganisasjonen som er autorisert til å utføre oppgaver som å endre organisasjonsinnstillinger, administrere lisenser og tilordne roller.
  • Oppsett og administrasjon av HDS med flere leietakere fra ende til ende for alle kundeorganisasjoner – fullstendig partneradministrator og fullstendige administratorrettigheter kreves.
  • Administrasjon av tilordnede leietakerorganisasjoner – Partneradministrator og fullstendige administratorrettigheter kreves.

Sikkerhetsområde arkitektur

Webex-skyarkitekturen skiller forskjellige typer tjenester inn i separate områder, eller klareringsdomener, som vist nedenfor.

Områder for separasjon (uten hybrid datasikkerhet)

For å forstå hybrid datasikkerhet ytterligere, la oss først se på dette rene skytilfellet, der Cisco leverer alle funksjonene i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan være direkte korrelert med sine personopplysninger, for eksempel e-postadresse, er logisk og fysisk adskilt fra sikkerhetsområdet i datasenter B. Begge er i sin tur adskilt fra området der kryptert innhold lagres, i datasenter C.

I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og er godkjent med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:

  1. Klienten oppretter en sikker tilkobling til nøkkeladministrasjonstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikre tilkoblingen bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en hovednøkkel AES-256.

  2. Meldingen krypteres før den forlater klienten. Klienten sender det til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe i fremtidige søk etter innholdet.

  3. Den krypterte meldingen sendes til samsvarstjenesten for kontroll av samsvar.

  4. Den krypterte meldingen lagres i lagringsområdet.

Når du distribuerer hybrid datasikkerhet, flytter du sikkerhetsområdefunksjonene (KMS, indeksering og samsvar) til det lokale datasenteret. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos områder.

Samarbeide med andre organisasjoner

Brukere i organisasjonen kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen din (fordi det ble opprettet av en av brukerne), sender KMS nøkkelen til klienten via en ECDH-sikret kanal. Når en annen organisasjon eier nøkkelen for området, sender KMS imidlertid forespørselen ut til Webex-skyen via en egen ECDH-kanal for å hente nøkkelen fra den aktuelle KMS, og returnerer deretter nøkkelen til brukeren din på den opprinnelige kanalen.

KMS-tjenesten som kjører på Org A, validerer tilkoblingene til KMS i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet hvis du vil ha mer informasjon om hvordan du genererer et x.509-sertifikat som skal brukes med distribusjonen av hybriddatasikkerhet for flere leietakere.

Forventninger til distribusjon av hybrid datasikkerhet

En distribusjon av hybrid datasikkerhet krever betydelig forpliktelse og bevissthet om risikoene som følger med å eie krypteringsnøkler.

For å distribuere hybrid datasikkerhet må du oppgi:

Fullstendig tap av enten konfigurasjons-ISO-en du bygger for hybriddatasikkerhet eller databasen du leverer, vil føre til tap av nøklene. Nøkkeltap hindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:

  • Administrer sikkerhetskopiering og gjenoppretting av databasen og konfigurasjons-ISO.

  • Vær forberedt på å utføre rask katastrofegjenoppretting hvis en katastrofe oppstår, for eksempel databasediskfeil eller datasenterkatastrofe.

Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon.

Oppsettsprosess på høyt nivå

Dette dokumentet dekker oppsettet og administrasjonen av en distribusjon av hybriddatasikkerhet for flere leietakere:

  • Konfigurere hybrid datasikkerhet – Dette inkluderer klargjøring av nødvendig infrastruktur og installering av hybrid datasikkerhetsprogramvare, bygging av en HDS-klynge, tillegging av leierorganisasjoner i klyngen og administrasjon av kundens hovednøkler (CMK-er). Dette vil gjøre det mulig for alle brukere i kundeorganisasjonene dine å bruke den hybride datasikkerhetsklyngen til sikkerhetsfunksjoner.

    Installasjons-, aktiverings- og administrasjonsfasene er beskrevet i detalj i de neste tre kapitlene.

  • Oppretthold distribusjonen av hybrid datasikkerhet – Webex-skyen gir automatisk pågående oppgraderinger. IT-avdelingen din kan gi støtte på nivå én for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke varsler på skjermen og konfigurere e-postbaserte varsler i Partner Hub.

  • Forstå vanlige varsler, feilsøkingstrinn og kjente problemer– Hvis du har problemer med å distribuere eller bruke hybriddatasikkerhet, kan det siste kapitlet i denne veiledningen og vedlegget Kjente problemer hjelpe deg med å finne og løse problemet.

Distribusjonsmodell for hybrid datasikkerhet

I bedriftens datasenter distribuerer du hybrid datasikkerhet som én klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen via sikre websockets og sikre HTTP.

Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere det virtuelle apparatet på VM-ene du leverer. Du bruker HDS-installasjonsverktøyet til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Den hybride datasikkerhetsklyngen bruker den oppgitte Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)

Distribusjonsmodell for hybrid datasikkerhet

Minimum antall noder du kan ha i en klynge, er to. Vi anbefaler minst tre per klynge. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)

Alle noder i en klynge får tilgang til samme nøkkeldatalager og loggaktivitet til samme syslog-server. Nodene selv er statsløse, og håndterer nøkkelforespørsler på rund-robin-modus, som styres av skyen.

Noder blir aktive når du registrerer dem i Partner Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.

Standby Data Center for katastrofegjenoppretting

Under distribusjonen setter du opp et sikkert standbydatasenter. I tilfelle en datasenterkatastrofe, kan du manuelt mislykkes distribusjonen til standbydatasenteret.

Før failover har datasenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-databasen, mens B har en kopi av ISO-filen med ekstra konfigurasjoner, virtuelle maskiner som er registrert i organisasjonen, og en standbydatabase. Etter failover har datasenter B aktive HDS-noder og den primære databasen, mens A har uregistrerte VM-er og en kopi av ISO-filen, og databasen er i standbymodus.
Manuell failover til standby-datasenter

Databasene til de aktive datasentrene og standbydatasentrene er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover.

De aktive nodene for hybriddatasikkerhet må alltid være i samme datasenter som den aktive databaseserveren.

Proxy-støtte

Hybrid Data Security støtter eksplisitte, gjennomsiktige inspeksjons- og ikke-inspeksjons-proxyer. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et plattformadministratorgrensesnitt på nodene for sertifikatadministrasjon og for å kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.

Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:

  • Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Trust Store & Proxy-konfigurasjonen til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.

  • Gjennomsiktig ikke-inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse og bør ikke kreve endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.

  • Gjennomsiktig tunnelering eller inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjonen er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de stoler på proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).

  • Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og godkjenningsskjema som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon på hver node:

    1. Proxy-IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

    3. Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:

      • HTTP – viser og kontrollerer alle forespørsler som klienten sender.

      • HTTPS – Gir en kanal til serveren. Klienten mottar og validerer serverens sertifikat.

    4. Godkjenningstype– velg blant følgende godkjenningstyper:

      • Ingen – Ingen ytterligere godkjenning er nødvendig.

        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

      • Grunnleggende – Brukes for en HTTP-brukeragent til å oppgi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

        Krever at du skriver inn brukernavn og passord for hver node.

      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

        Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.

        Krever at du skriver inn brukernavn og passord for hver node.

Eksempel på noder og proxy for hybriddatasikkerhet

Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og eksplisitt HTTPS-inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.

Blokkert ekstern DNS-oppløsningsmodus (eksplisitte proxy-konfigurasjoner)

Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsning-modus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.

Forbered miljøet ditt

Krav til hybriddatasikkerhet for flere leietakere

Krav til Cisco Webex-lisens

Slik distribuerer du hybriddatasikkerhet for flere leietakere:

  • Partnerorganisasjoner: Kontakt din Cisco-partner eller kontoadministrator og sørg for at funksjonen for flere leietakere er aktivert.

  • Leietakerorganisasjoner: Du må ha Pro Pack for Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker-skrivebord

Før du installerer HDS-nodene, trenger du Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig sin lisensieringsmodell. Organisasjonen din kan kreve et betalt abonnement på Docker Desktop. Hvis du vil ha mer informasjon, kan du se innlegget til Docker-bloggen, «Docker oppdaterer og utvider våre produktabonnementer».

X.509-sertifikatkrav

Sertifikatkjeden må oppfylle følgende krav:

Tabell 1. X.509-sertifikatkrav for distribusjon av hybriddatasikkerhet

Krav

Detaljer

  • Signert av en klarert sertifiseringsinstans (CA)

Som standard stoler vi på sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har et Common Name (CN) domenenavn som identifiserer din distribusjon av hybriddatasikkerhet

  • Er ikke et jokertegn

CN trenger ikke å være tilgjengelig eller en direkte vert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel hds.company.com.

CN kan ikke inneholde et * (jokertegn).

CN brukes til å bekrefte nodene for hybriddatasikkerhet til Webex-appklienter. Alle nodene for hybriddatasikkerhet i klyngen bruker det samme sertifikatet. KMS identifiserer seg selv ved hjelp av CN-domenet, ikke et domene som er definert i x.509v3 SAN-feltene.

Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN-domenenavnet.

  • Ikke-SHA1-signatur

KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjons KMS-er.

  • Formatert som en passordbeskyttet PKCS #12-fil

  • Bruk det vennlige navnet på kms-private-key for å tagge sertifikatet, privat nøkkel og eventuelle mellomliggende sertifikater som skal lastes opp.

Du kan bruke en konverter som OpenSSL til å endre sertifikatets format.

Du må angi passordet når du kjører HDS-installasjonsverktøyet.

KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifikatmyndigheter krever at utvidede nøkkelbruksbegrensninger brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.

Krav til virtuell vert

De virtuelle vertene som du vil konfigurere som Hybrid Data Security-noder i klyngen har følgende krav:

  • Minst to separate verter (3 anbefales) plassert i samme sikre datasenter

  • VMware ESXi 7.0 (eller nyere) installert og kjører.

    Du må oppgradere hvis du har en tidligere versjon av ESXi.

  • Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokalt harddiskplass per server

Krav til databaseserver

Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene oppretter databaseskjemaet når de er installert.

Det finnes to alternativer for databaseserver. Kravene til hver av dem er som følger:

Tabell 2. Databaseserverkrav etter type database

PostgreSql

Microsoft SQL Server

  • PostgreSQL 14, 15 eller 16, installert og kjører.

  • SQL Server 2016, 2017, 2019 eller 2022 (Enterprise eller Standard) installert.

    SQL Server 2016 krever Service Pack 2 og kumulativ oppdatering 2 eller nyere.

Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at det ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at det ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserveren:

PostgreSql

Microsoft SQL Server

Postgres JDBC driver 42.2.5

SQL Server JDBC driver 4.6

Denne driverversjonen støtter SQL Server Always On (Always On Failover Cluster Instances og Always On Availability Groups).

Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server

Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til Keystore-databasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:

  • HDS-nodene, Active Directory-infrastrukturen og MS SQL Server må alle synkroniseres med NTP.

  • Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.

  • DNS-serverne du leverer til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).

  • Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et tjenestehovednavn (SPN) i Active Directory. Se Registrer tjenestens hovednavn for Kerberos-tilkoblinger.

    HDS-installasjonsverktøyet, HDS-oppstartsprogrammet og lokal KMS må bruke Windows-godkjenning for å få tilgang til nøkkelbutikkdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN-en når de ber om tilgang med Kerberos-godkjenning.

Krav til ekstern tilkobling

Konfigurer brannmuren slik at den tillater følgende tilkobling for HDS-programmene:

Applikasjon

Protokoll

Port

Retning fra appen

Destinasjon

Noder for hybriddatasikkerhet

tcp

443

Utgående HTTPS og WSS

  • Webex-servere:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-verter

  • Andre URL-adresser som er oppført for hybriddatasikkerhet i tabellen Ytterligere URL-adresser for Webex-hybridtjenester med Nettverkskrav for Webex-tjenester

HDS-oppsettsverktøy

tcp

443

Utgående HTTPS

  • *.wbx2.com

  • Alle Common Identity-verter

  • hub.docker.com

Nodene for hybriddatasikkerhet fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmuren tillater de nødvendige utgående tilkoblingene til domenet-målene i tabellen ovenfor. Ingen porter skal være synlige fra Internett for tilkoblinger som går inn til nodene for hybriddatasikkerhet. I datasenteret trenger klienter tilgang til nodene for hybriddatasikkerhet på TCP-portene 443 og 22 av administrative grunner.

URL-adressene for Common Identity (CI)-vertene er områdespesifikke. Dette er de gjeldende CI-vertene:

Region

URL-adresser for Common Identity Host

Nord-Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Den europeiske union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

De forente arabiske emirater

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Krav til proxy-server

  • Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene for hybriddatasikkerhet.

    • Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).

    • Eksplisitt proxy – Squid.

      Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre opprettelsen av websocket-tilkoblinger (wss:). Hvis du vil omgå dette problemet, kan du se Konfigurere Squid-proxyer for hybriddatasikkerhet.

  • Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:

    • Ingen godkjenning med HTTP eller HTTPS

    • Grunnleggende godkjenning med HTTP eller HTTPS

    • Digest-godkjenning kun med HTTPS

  • For en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne veiledningen forteller deg hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnodene.

  • Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.

  • Proxyer som inspiserer webtrafikk kan forstyrre Web Socket-tilkoblinger. Hvis dette problemet oppstår, vil det å omgå (ikke inspisere) trafikk til wbx2.com , og ciscospark.com vil løse problemet.

Fullfør forutsetningene for hybrid datasikkerhet

Bruk denne sjekklisten til å sikre at du er klar til å installere og konfigurere den hybride datasikkerhetsklyngen.
1

Sørg for at partnerorganisasjonen din har HDS-funksjonen for flere leietakere aktivert og få legitimasjonen til en konto med fullstendig partneradministrator og fullstendige administratorrettigheter. Påse at Webex-kundeorganisasjonen er aktivert for Pro Pack for Cisco Webex Control Hub. Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen.

Kundeorganisasjoner skal ikke ha noen eksisterende HDS-distribusjon.

2

Velg et domenenavn for HDS-distribusjonen (for eksempel hds.company.com) og hent en sertifikatkjede som inneholder et X.509-sertifikat, privat nøkkel og eventuelle mellomliggende sertifikater. Sertifikatkjeden må oppfylle kravene i X.509 Sertifikatkrav.

3

Klargjør identiske virtuelle verter som du vil konfigurere som Hybrid Data Security-noder i klyngen. Du trenger minst to separate verter (3 anbefales) plassert i samme sikre datasenter, som oppfyller kravene i Krav til virtuelle verter.

4

Klargjør databaseserveren som skal fungere som nøkkeldatalager for klyngen, i henhold til Databaseserverkrav. Databaseserveren må være plassert i det sikre datasenteret med de virtuelle vertene.

  1. Opprett en database for nøkkellagring. (Du må opprette denne databasen – ikke bruk standarddatabasen. HDS-programmene oppretter databaseskjemaet når de er installert.)

  2. Samle inn detaljene som nodene skal bruke til å kommunisere med databaseserveren:

    • vertsnavnet eller IP-adressen (vert) og port

    • navnet på databasen (dbname) for nøkkellagring

    • brukernavnet og passordet til en bruker med alle rettigheter i databasen for nøkkellagring

5

For rask katastrofegjenoppretting konfigurerer du et sikkerhetskopieringsmiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet til VM-er og en sikkerhetskopidatabaseserver. Hvis for eksempel produksjonen har 3 VM-er som kjører HDS-noder, skal sikkerhetskopieringsmiljøet ha 3 VM-er.

6

Sett opp en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadressen og syslog-porten (standard er UDP 514).

7

Opprett en sikker sikkerhetskopieringspolicy for nodene for hybriddatasikkerhet, databaseserveren og syslog-verten. For å forhindre ugjenopprettelig tap av data må du som minimum sikkerhetskopiere databasen og konfigurasjonsfilen som genereres for nodene for hybriddatasikkerhet.

Fordi nodene for hybriddatasikkerhet lagrer nøklene som brukes til kryptering og dekryptering av innhold, vil manglende vedlikehold av en operativ distribusjon føre til UGJENOPPRETTELIG TAP av dette innholdet.

Webex-appklienter bufrer nøklene sine, så det kan hende at et driftsbrudd ikke er umiddelbart merkbart, men vil bli tydelig over tid. Selv om midlertidige avbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopieringer tilgjengelig) av enten databasen eller konfigurasjons-ISO-filen vil imidlertid føre til ugjenopprettbare kundedata. Operatørene av nodene for hybriddatasikkerhet forventes å opprettholde hyppige sikkerhetskopieringer av databasen og konfigurasjonsfilen, og være forberedt på å gjenoppbygge datasenteret for hybriddatasikkerhet hvis det oppstår en katastrofal feil.

8

Kontroller at brannmurkonfigurasjonen tillater tilkobling for hybriddatasikkerhetsnodene som beskrevet i Krav til ekstern tilkobling.

9

Installer Docker ( https://www.docker.com) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til det på http://127.0.0.1:8080.

Du bruker Docker-forekomsten til å laste ned og kjøre HDS-installasjonsverktøyet, som bygger den lokale konfigurasjonsinformasjonen for alle nodene for hybriddatasikkerhet. Du trenger kanskje en Docker Desktop-lisens. Se Krav til Docker Desktop for mer informasjon.

For å installere og kjøre HDS-installasjonsverktøyet må den lokale maskinen ha tilkoblingen beskrevet i Krav til ekstern tilkobling.

10

Hvis du integrerer en proxy med hybriddatasikkerhet, må du sørge for at den oppfyller kravene til proxy-serveren.

Konfigurere en klynge for hybriddatasikkerhet

Oppgaveflyt for distribusjon av hybrid datasikkerhet

Før du begynner

1

Utfør første konfigurasjon og last ned installasjonsfiler

Last ned OVA-filen til din lokale maskin for senere bruk.

2

Opprette en konfigurasjons-ISO for HDS-verter

Bruk HDS-installasjonsverktøyet til å opprette en ISO-konfigurasjonsfil for nodene for hybriddatasikkerhet.

3

Installere HDS Host OVA

Opprett en virtuell maskin fra OVA-filen og utfør første konfigurasjon, for eksempel nettverksinnstillinger.

Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 7.0. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

4

Konfigurere VM for hybriddatasikkerhet

Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA ble distribuert.

5

Laste opp og montere konfigurasjons-ISO for HDS

Konfigurer VM fra ISO-konfigurasjonsfilen du opprettet med HDS-installasjonsverktøyet.

6

Konfigurere HDS-noden for proxy-integrering

Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du hvilken type proxy du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig.

7

Registrer den første noden i klyngen

Registrer VM med Cisco Webex-skyen som en hybrid datasikkerhetsnode.

8

Opprett og registrer flere noder

Fullfør klyngeoppsettet.

9

Aktiver HDS for flere leietakere på Partner Hub.

Aktiver HDS og administrer leierorganisasjoner på Partner Hub.

Utfør første konfigurasjon og last ned installasjonsfiler

I denne oppgaven laster du ned en OVA-fil til maskinen din (ikke til serverne du konfigurerer som Hybrid Data Security-noder). Du bruker denne filen senere i installasjonsprosessen.

1

Logg på Partner Hub, og klikk deretter på Tjenester.

2

Finn kortet for hybriddatasikkerhet under Skytjenester, og klikk deretter på Konfigurer.

Å klikke på Konfigurer i Partner Hub er avgjørende for distribusjonsprosessen. Ikke fortsett med installasjonen uten å fullføre dette trinnet.

3

Klikk på Legg til en ressurs , og klikk på Last ned .OVA-fil på kortet Installer og konfigurer programvare .

Eldre versjoner av programvarepakken (OVA) vil ikke være kompatible med de nyeste oppgraderingene for hybriddatasikkerhet. Dette kan føre til problemer under oppgradering av programmet. Sørg for at du laster ned den nyeste versjonen av OVA-filen.

Du kan også laste ned OVA når som helst fra Hjelp -delen. Klikk på Innstillinger > Hjelp > Last ned programvare for hybriddatasikkerhet.

OVA-filen begynner automatisk å lastes ned. Lagre filen på en plassering på maskinen.
4

Du kan eventuelt klikke på Se distribusjonsveiledning for hybriddatasikkerhet for å sjekke om det finnes en senere versjon av denne veiledningen.

Opprette en konfigurasjons-ISO for HDS-verter

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

Før du begynner
1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

På siden ISO-import har du disse alternativene:

  • Nei– Hvis du oppretter din første HDS-node, har du ikke en ISO-fil å laste opp.
  • Ja – Hvis du allerede har opprettet HDS-noder, velger du ISO-filen din i nettleseren og laster den opp.
10

Kontroller at X.509-sertifikatet oppfyller kravene i X.509-sertifikatkrav.

  • Hvis du aldri har lastet opp et sertifikat før, laster du opp X.509-sertifikatet, skriver inn passordet og klikker på Fortsett.
  • Hvis sertifikatet er OK, klikker du på Fortsett.
  • Hvis sertifikatet har utløpt eller du vil erstatte det, velger du Nei for Fortsett å bruke HDS-sertifikatkjede og privat nøkkel fra forrige ISO?. Last opp et nytt X.509-sertifikat, skriv inn passordet, og klikk på Fortsett.
11

Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret:

  1. Velg Databasetype (PostgreSQL eller Microsoft SQL Server).

    Hvis du velger Microsoft SQL Server, får du et felt for godkjenningstype.

  2. (Kun Microsoft SQL Server ) Velg godkjenningstype:

    • Grunnleggende godkjenning: Du trenger et lokalt SQL Server-kontonavn i Brukernavn -feltet.

    • Windows-godkjenning: Du trenger en Windows-konto i formatet username@DOMAIN i Brukernavn -feltet.

  3. Skriv inn databaseserveradressen i skjemaet : eller :.

    Eksempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan bruke en IP-adresse for grunnleggende godkjenning, hvis nodene ikke kan bruke DNS til å løse vertsnavnet.

    Hvis du bruker Windows-godkjenning, må du angi et fullt kvalifisert domenenavn i formatet dbhost.example.org:1433

  4. Skriv inn Databasenavn.

  5. Skriv inn Brukernavn og Passord til en bruker med alle rettigheter i databasen for nøkkellagring.

12

Velg en TLS-databasetilkoblingsmodus:

Modus

Beskrivelse

Foretrekker TLS (standardalternativ)

HDS-noder krever ikke TLS for å koble til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøker nodene en kryptert tilkobling.

Krev TLS

HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

Krev TLS og bekreft sertifikatsignerer

Denne modusen gjelder ikke for SQL Server-databaser.

  • HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

  • Etter å ha opprettet en TLS-tilkobling, sammenligner noden signeringen av sertifikatet fra databaseserveren med sertifikatmyndigheten i Databaserotsertifikat. Hvis de ikke samsvarer, mister noden tilkoblingen.

Bruk kontrollen Databaserotsertifikat under rullegardinlisten for å laste opp rotsertifikatet for dette alternativet.

Krev TLS og bekreft sertifikatsignerer og vertsnavn

  • HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

  • Etter å ha opprettet en TLS-tilkobling, sammenligner noden signeringen av sertifikatet fra databaseserveren med sertifikatmyndigheten i Databaserotsertifikat. Hvis de ikke samsvarer, mister noden tilkoblingen.

  • Nodene bekrefter også at vertsnavnet i serversertifikatet samsvarer med vertsnavnet i feltet Databasevert og port . Navnene må samsvare nøyaktig, ellers mister noden tilkoblingen.

Bruk kontrollen Databaserotsertifikat under rullegardinlisten for å laste opp rotsertifikatet for dette alternativet.

Når du laster opp rotsertifikatet (om nødvendig) og klikker på Fortsett, tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserveren. Verktøyet bekrefter også sertifikatsigneringen og vertsnavnet, hvis aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan HDS-nodene være i stand til å etablere TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.)

13

På siden Systemlogger konfigurerer du Syslogd-serveren:

  1. Skriv inn URL-adressen til syslog-serveren.

    Hvis serveren ikke kan løses DNS fra nodene for HDS-klyngen, bruker du en IP-adresse i URL-adressen.

    Eksempel:
    udp://10.92.43.23:514 angir logging til Syslogd-verten 10.92.43.23 på UDP-port 514.

  2. Hvis du konfigurerer serveren til å bruke TLS-kryptering, merker du av for Er syslog-serveren konfigurert for SSL-kryptering?.

    Hvis du merker av i denne avmerkingsboksen, må du angi en TCP-URL, for eksempel tcp://10.92.43.23:514.

  3. Fra rullegardinlisten Velg avslutning av syslog-post velger du riktig innstilling for ISO-filen: Velg eller Newline brukes for Graylog og Rsyslog TCP

    • Null byte -- \x00

    • Newline -- \n– Velg dette alternativet for Graylog og Rsyslog TCP.

  4. Klikk på Fortsett.

14

(Valgfritt) Du kan endre standardverdien for noen parametere for databasetilkobling i Avanserte innstillinger. Generelt er denne parameteren den eneste du kanskje vil endre:

app_datasource_connection_pool_maxStørrelse: 10
15

Klikk på Fortsett på skjermen Tilbakestill passord for tjenestekontoer .

Passord for tjenestekontoen har en levetid på ni måneder. Bruk dette skjermbildet når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem til å ugyldiggjøre tidligere ISO-filer.

16

Klikk på Last ned ISO-fil. Lagre filen på et sted som er lett å finne.

17

Ta en sikkerhetskopi av ISO-filen på ditt lokale system.

Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer.

18

Hvis du vil slå av installasjonsverktøyet, skriver du inn CTRL+C.

Hva du skal gjøre nå

Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.

Vi har aldri en kopi av denne nøkkelen og kan ikke hjelpe hvis du mister den.

Installere HDS Host OVA

Bruk denne fremgangsmåten for å opprette en virtuell maskin fra OVA-filen.
1

Bruk VMware vSphere-klienten på datamaskinen for å logge på den virtuelle ESXi-verten.

2

Velg Fil > Distribuer OVF-mal.

3

I veiviseren angir du plasseringen til OVA-filen du lastet ned tidligere, og klikker deretter på Neste.

4

På siden Velg et navn og mappe skriver du inn et Virtuelt maskinnavn for noden (for eksempel «HDS_Node_1»), velger et sted der den virtuelle maskinnodedistribusjonen kan ligge, og klikker deretter på Neste.

5

På siden Velg en beregningsressurs velger du destinasjonsberegningsressursen, og klikker deretter på Neste.

En valideringskontroll kjører. Når den er ferdig, vises maldetaljene.

6

Bekreft maldetaljene, og klikk deretter på Neste.

7

Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon -siden, klikker du på 4 CPU og klikker deretter på Neste.

8

På siden Velg lagring klikker du på Neste for å godta standard diskformat og retningslinjer for lagring av VM.

9

På siden Velg nettverk velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til VM-en.

10

Konfigurer følgende nettverksinnstillinger på siden Tilpass mal :

  • Vertsnavn– angi FQDN (vertsnavn og domene) eller et enkelt ord vertsnavn for noden.

    • Du trenger ikke å angi domenet til å samsvare med domenet du brukte til å skaffe X.509-sertifikatet.

    • For å sikre vellykket registrering til skyen må du bare bruke små bokstaver i FQDN eller vertsnavnet du angir for noden. Kapitalisering støttes ikke på dette tidspunktet.

    • Den totale lengden på FQDN må ikke overstige 64 tegn.

  • IP-adresse– angi IP-adressen for nodens interne grensesnitt.

    Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke.

  • Maske– Angi nettverksmaskens adresse i punkt-desimalnotasjon. For eksempel 255.255.255.0.
  • Gateway– angi gatewayens IP-adresse. En gateway er en nettverksnode som fungerer som et tilgangspunkt til et annet nettverk.
  • DNS-servere – Skriv inn en kommaseparert liste over DNS-servere som håndterer å oversette domenenavn til numeriske IP-adresser. (Opptil 4 DNS-oppføringer er tillatt.)
  • NTP-servere– Angi organisasjonens NTP-server eller en annen ekstern NTP-server som kan brukes i organisasjonen. Standard NTP-servere fungerer kanskje ikke for alle bedrifter. Du kan også bruke en kommadelt liste til å angi flere NTP-servere.

  • Distribuer alle nodene på samme subnett eller VLAN, slik at alle nodene i en klynge kan nås fra klienter i nettverket ditt for administrative formål.

Hvis du vil, kan du hoppe over konfigurasjonen av nettverksinnstillingene og følge trinnene i Konfigurere VM for hybriddatasikkerhet for å konfigurere innstillingene fra nodekonsollen.

Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 7.0. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

11

Høyreklikk på noden VM, og velg deretter Power > Power On.

Programvaren for hybrid datasikkerhet installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden.

Feilsøkingstips

Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen under første oppstart, hvor du ikke kan logge på.

Konfigurere VM for hybriddatasikkerhet

Bruk denne fremgangsmåten til å logge på VM-konsollen for hybriddatasikkerhetsnoden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA ble distribuert.

1

I VMware vSphere-klienten velger du den hybride datasikkerhetsnoden VM og velger fanen Konsoll .

VM starter opp og en melding om pålogging vises. Hvis meldingen om pålogging ikke vises, trykker du på Enter.
2

Bruk følgende standard pålogging og passord for å logge på og endre legitimasjonen:

  1. Pålogging: administrator

  2. Passord: cisco

Siden du logger på VM for første gang, må du endre administratorpassordet.

3

Hvis du allerede har konfigurert nettverksinnstillingene i Installer HDS Host OVA, hopper du over resten av denne prosedyren. Hvis ikke, velger du alternativet Rediger konfigurasjon i hovedmenyen.

4

Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke.

5

(Valgfritt) Endre vertsnavnet, domenet eller NTP-serveren(e) om nødvendig for å samsvare med nettverkspolicyen.

Du trenger ikke å angi domenet til å samsvare med domenet du brukte til å skaffe X.509-sertifikatet.

6

Lagre nettverkskonfigurasjonen og start VM på nytt slik at endringene trer i kraft.

Laste opp og montere konfigurasjons-ISO for HDS

Bruk denne fremgangsmåten til å konfigurere den virtuelle maskinen fra ISO-filen du opprettet med HDS-installasjonsverktøyet.

Før du begynner

Fordi ISO-filen innehar hovednøkkelen, bør den bare eksponeres på "trenger å vite"-basis, for tilgang for virtuelle maskiner for hybriddatasikkerhet og eventuelle administratorer som må gjøre endringer. Sørg for at bare disse administratorene har tilgang til datalageret.

1

Last opp ISO-filen fra datamaskinen:

  1. Klikk på ESXi-serveren i venstre navigasjonsrute til VMware vSphere-klienten.

  2. Klikk på Lagring i Maskinvare-listen i kategorien Konfigurasjon.

  3. Høyreklikk på datalageret for VM-ene i listen Datalagerer, og klikk på Bla gjennom datalageret.

  4. Klikk på ikonet Last opp filer, og klikk deretter på Last opp fil.

  5. Bla til plasseringen der du lastet ned ISO-filen på datamaskinen, og klikk på Åpne.

  6. Klikk på Ja for å godta advarselen om opplasting/nedlasting og lukke dialogboksen for datalager.

2

Montere ISO-fil:

  1. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

  2. Klikk på OK for å godta advarselen om begrensede redigeringsalternativer.

  3. Klikk på CD/DVD-stasjon 1, velg alternativet for montering fra en ISO-fil i datalageret, og bla til plasseringen der du lastet opp ISO-konfigurasjonsfilen.

  4. Kontroller Tilkoblet og Koble til ved strøm på.

  5. Lagre endringene og start den virtuelle maskinen på nytt.

Hva du skal gjøre nå

Hvis IT-policyen krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene har plukket opp konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.

Konfigurere HDS-noden for proxy-integrering

Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybrid datasikkerhet. Hvis du velger en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet, og feilsøke eventuelle problemer.

Før du begynner

1

Skriv inn URL-adressen for HDS-nodeoppsett https://[HDS Node IP or FQDN]/setup i en nettleser, skriv inn administratorlegitimasjonen du har konfigurert for noden, og klikk deretter på Logg på.

2

Gå til Klareringslager og proxy, og velg deretter et alternativ:

  • Ingen proxy – Standardalternativet før du integrerer en proxy. Ingen sertifikatoppdatering er nødvendig.
  • Gjennomsiktig ikke-inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse og bør ikke kreve endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
  • Gjennomsiktig inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTPS-konfigurasjonen er nødvendig på distribusjonen av hybriddatasikkerhet, men HDS-nodene trenger et rotsertifikat for å klarere proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
  • Eksplisitt proxy – Med eksplisitt proxy forteller du klienten (HDS-noder) hvilken proxy-server som skal brukes, og dette alternativet støtter flere godkjenningstyper. Når du har valgt dette alternativet, må du angi følgende informasjon:

    1. Proxy-IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

    3. Proxy Protocol – Velg http (viser og kontrollerer alle forespørsler som mottas fra klienten) eller https (gir en kanal til serveren, og klienten mottar og validerer serverens sertifikat). Velg et alternativ basert på hva proxy-serveren støtter.

    4. Godkjenningstype– velg blant følgende godkjenningstyper:

      • Ingen – Ingen ytterligere godkjenning er nødvendig.

        Tilgjengelig for HTTP- eller HTTPS-proxyer.

      • Grunnleggende – Brukes for en HTTP-brukeragent til å oppgi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

        Tilgjengelig for HTTP- eller HTTPS-proxyer.

        Hvis du velger dette alternativet, må du også angi brukernavn og passord.

      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

        Kun tilgjengelig for HTTPS-proxyer.

        Hvis du velger dette alternativet, må du også angi brukernavn og passord.

Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en eksplisitt HTTP-proxy med grunnleggende godkjenning eller en eksplisitt HTTPS-proxy.

3

Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen.

Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på chevron-pilen ved navnet på sertifikatutstederen for å få mer informasjon, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt.

4

Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen.

Hvis tilkoblingstesten mislykkes, får du en feilmelding som viser årsaken og hvordan du kan løse problemet.

Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne tilstanden forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene og ser Slå av blokkert ekstern DNS-oppløsningsmodus.

5

Etter at tilkoblingstesten er bestått, bare for eksplisitt proxy satt til https, slår du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen tar 15 sekunder før den trer i kraft.

6

Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en eksplisitt HTTP-proxy), les ledeteksten og klikk deretter på Installer hvis du er klar.

Noden starter på nytt innen noen få minutter.

7

Etter at noden har startet på nytt, logger du på igjen om nødvendig og åpner deretter Oversikt -siden for å sjekke tilkoblingskontrollene for å sikre at alle er i grønn status.

Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det er tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen.

Registrer den første noden i klyngen

Denne oppgaven tar den generiske noden du opprettet i Konfigurer VM for hybrid datasikkerhet, registrerer noden i Webex-skyen og gjør den om til en hybrid datasikkerhetsnode.

Når du registrerer din første node, oppretter du en klynge som noden er tilordnet til. En klynge inneholder én eller flere noder som er distribuert for å gi redundans.

Før du begynner

  • Når du begynner å registrere en node, må du fullføre den innen 60 minutter, eller du må starte på nytt.

  • Sørg for at eventuelle popup-blokkere i nettleseren er deaktivert, eller at du tillater et unntak for admin.webex.com.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du kortet for hybriddatasikkerhet og klikker på Konfigurer.

4

Klikk på Legg til en ressurs på siden som åpnes.

5

I det første feltet i Legg til en node -kortet skriver du inn et navn på klyngen du vil tilordne hybriddatasikkerhetsnoden til.

Vi anbefaler at du navngir en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

6

I det andre feltet skriver du inn den interne IP-adressen eller det fullstendige domenenavnet (FQDN) til noden og klikker på Legg til nederst på skjermen.

Denne IP-adressen eller FQDN skal samsvare med IP-adressen eller vertsnavnet og domenet du brukte i Konfigurere VM for hybriddatasikkerhet.

Det vises en melding som angir at du kan registrere noden din til Webex.
7

Klikk på Gå til node.

Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelse til Webex-organisasjonen din for å få tilgang til noden din.

8

Merk av i avkrysningsboksen Gi tilgang til din hybride datasikkerhetsnode , og klikk deretter på Fortsett.

Kontoen din er validert, og meldingen «Registreringen er fullført» indikerer at noden din nå er registrert i Webex-skyen.
9

Klikk på koblingen eller lukk fanen for å gå tilbake til Partner Hub Hybrid Data Security-siden.

På siden Hybriddatasikkerhet vises den nye klyngen som inneholder noden du registrerte, under Ressurser -fanen. Noden vil automatisk laste ned den nyeste programvaren fra skyen.

Opprett og registrer flere noder

Hvis du vil legge til flere noder i klyngen, oppretter du ganske enkelt flere VM-er og monterer den samme ISO-konfigurasjonsfilen og registrerer noden. Vi anbefaler at du har minst 3 noder.

Før du begynner

  • Når du begynner å registrere en node, må du fullføre den innen 60 minutter, eller du må starte på nytt.

  • Sørg for at eventuelle popup-blokkere i nettleseren er deaktivert, eller at du tillater et unntak for admin.webex.com.

1

Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA.

2

Konfigurer den første konfigurasjonen på den nye VM-en, og gjenta trinnene i Konfigurer VM for hybriddatasikkerhet.

3

På den nye VM gjentar du trinnene i Last opp og monter HDS-konfigurasjons-ISO.

4

Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrasjon etter behov for den nye noden.

5

Registrer noden.

  1. I https://admin.webex.com velger du Tjenester fra menyen til venstre på skjermen.

  2. Finn kortet for hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

    Siden Ressurser for hybriddatasikkerhet vises.

  3. Den nylig opprettede klyngen vises på Ressurser -siden.

  4. Klikk på klyngen for å vise nodene som er tilordnet klyngen.

  5. Klikk på Legg til en node til høyre på skjermen.

  6. Skriv inn den interne IP-adressen eller fullt kvalifisert domenenavn (FQDN) til noden, og klikk på Legg til.

    En side åpnes med en melding om at du kan registrere noden din i Webex-skyen. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi organisasjonen tillatelse til å få tilgang til noden din.

  7. Merk av i avkrysningsboksen Gi tilgang til din hybride datasikkerhetsnode , og klikk deretter på Fortsett.

    Kontoen din er validert, og meldingen «Registreringen er fullført» indikerer at noden din nå er registrert i Webex-skyen.

  8. Klikk på koblingen eller lukk fanen for å gå tilbake til Partner Hub Hybrid Data Security-siden.

    Node lagt til popup-melding vises også nederst på skjermen i Partner Hub.

    Noden din er registrert.

Administrere leietakerorganisasjoner for hybriddatasikkerhet for flere leietakere

Aktivere HDS for flere leietakere på Partner Hub

Denne oppgaven sikrer at alle brukere av kundeorganisasjonene kan begynne å bruke HDS for lokale krypteringsnøkler og andre sikkerhetstjenester.

Før du begynner

Sørg for at du har fullført konfigureringen av HDS-klyngen for flere leietakere med det nødvendige antallet noder.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Rediger innstillinger.

4

Klikk på Aktiver HDS på kortet HDS-status .

Legg til leietakerorganisasjoner i Partner Hub

I denne oppgaven tilordner du kundeorganisasjoner til din hybride datasikkerhetsklynge.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

Finn hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

4

Klikk på klyngen du vil at en kunde skal tilordnes til.

5

Gå til fanen Tilordnede kunder .

6

Klikk på Legg til kunder.

7

Velg kunden du vil legge til, fra rullegardinmenyen.

8

Klikk på Legg til, kunden blir lagt til i klyngen.

9

Gjenta trinn 6 til 8 for å legge til flere kunder i klyngen.

10

Klikk på Ferdig nederst på skjermen når du har lagt til kundene.

Hva du skal gjøre nå

Kjør HDS-installasjonsverktøyet som beskrevet i Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-installasjonsverktøyet for å fullføre installasjonsprosessen.

Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-installasjonsverktøyet

Før du begynner

Tilordne kunder til riktig klynge som beskrevet i Legg til leietakerorganisasjoner i Partner Hub. Kjør HDS-installasjonsverktøyet for å fullføre installasjonsprosessen for de nylig tillagte kundeorganisasjonene.

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, for eksempel disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i godkjenningspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du distribusjonen av PostgreSQL eller SQL Server for TLS.

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

Klikk på Ja på siden ISO-import.

10

Velg ISO-filen i nettleseren og last den opp.

Sørg for tilkobling til databasen din for å utføre CMK-administrasjon.
11

Gå til fanen Leietakers CMK-administrasjon , der du finner følgende tre måter å administrere leietakers CMK-er på.

  • Opprett CMK for alle organisasjoner eller Opprett CMK – Klikk på denne knappen på banneret øverst på skjermen for å opprette CMK for alle organisasjoner som nylig er lagt til.
  • Klikk på knappen Administrer CMK-er til høyre på skjermen, og klikk på Opprett CMK-er for å opprette CMK-er for alle nylig tillagte organisasjoner.
  • Klikk på … nær CMK-administrasjonen som venter på status for en bestemt organisasjon i tabellen, og klikk på Opprett CMK for å opprette CMK for den organisasjonen.
12

Når CMK opprettes, endres statusen i tabellen fra CMK-administrasjon venter til CMK-administrert.

13

Hvis opprettelsen av CMK mislykkes, vises en feilmelding.

Fjern leietakerorganisasjoner

Før du begynner

Når de er fjernet, vil ikke brukere av kundeorganisasjoner kunne utnytte HDS for sine krypteringsbehov og vil miste alle eksisterende områder. Før du fjerner kundeorganisasjoner, må du kontakte din Cisco-partner eller kontoadministrator.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

Finn hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

4

I fanen Ressurser klikker du på klyngen du vil fjerne kundeorganisasjoner fra.

5

Klikk på Tilordnede kunder på siden som åpnes.

6

Fra listen over kundeorganisasjoner som vises, klikker du på til høyre for kundeorganisasjonen du vil fjerne, og klikker på Fjern fra klynge.

Hva du skal gjøre nå

Fullfør fjerningsprosessen ved å tilbakekalle kundeorganisasjonens CMK-er, som beskrevet i Tilbakekall CMK-er for leiere som er fjernet fra HDS.

Tilbakekall CMK-er for leiere som er fjernet fra HDS.

Før du begynner

Fjern kunder fra den aktuelle klyngen som beskrevet i Fjern leietakerorganisasjoner. Kjør HDS-installasjonsverktøyet for å fullføre fjerningsprosessen for kundeorganisasjonene som ble fjernet.

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, for eksempel disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i godkjenningspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du distribusjonen av PostgreSQL eller SQL Server for TLS.

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

innlogging for dokkers brukerstøtte
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

hengslet trekk ciscocitg/hds-oppsett:stabil

I FedRAMP-miljøer:

hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

Klikk på Ja på siden ISO-import.

10

Velg ISO-filen i nettleseren og last den opp.

11

Gå til fanen Leietakers CMK-administrasjon , der du finner følgende tre måter å administrere leietakers CMK-er på.

  • Tilbakekall CMK for alle organisasjoner eller Tilbakekall CMK – Klikk på denne knappen på banneret øverst på skjermen for å tilbakekalle CMK for alle organisasjoner som ble fjernet.
  • Klikk på knappen Administrer CMK-er til høyre på skjermen, og klikk på Tilbakekall CMK-er for å tilbakekalle CMK-er for alle organisasjoner som ble fjernet.
  • Klikk på i nærheten av CMK for å bli tilbakekalt status for en bestemt organisasjon i tabellen, og klikk på Tilbakekall CMK for å tilbakekalle CMK for den bestemte organisasjonen.
12

Når CMK-opphevelse er fullført, vises ikke kundeorganisasjonen lenger i tabellen.

13

Hvis CMK-tilbakekalling mislykkes, vises en feil.

Test distribusjonen av hybrid datasikkerhet

Test distribusjonen av hybrid datasikkerhet

Bruk denne fremgangsmåten til å teste scenarier for kryptering av hybriddatasikkerhet for flere leietakere.

Før du begynner

  • Konfigurer distribusjonen av hybriddatasikkerhet for flere leietakere.

  • Sørg for at du har tilgang til syslog for å bekrefte at viktige forespørsler sendes til din distribusjon av hybriddatasikkerhet for flere leietakere.

1

Nøkler for et gitt område angis av skaperen av området. Logg på Webex-appen som en av brukerne av kundeorganisasjonen, og opprett deretter et område.

Hvis du deaktiverer distribusjonen av hybriddatasikkerhet, er ikke innhold i områder som brukere oppretter, lenger tilgjengelig når de klientbufrede kopiene av krypteringsnøklene er erstattet.

2

Send meldinger til det nye området.

3

Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til distribusjonen av hybriddatasikkerhet.

  1. Hvis du vil se etter en bruker først å opprette en sikker kanal til KMS, filtrerer du på kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du bør finne en oppføring som følgende (identifikatorer forkortet for lesbarhet):
    2020-07-21 17:35:34.562 (+0000) INFORMASJON KMS [pool-14-thread-1] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 Kjælebarn: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Hvis du vil se etter en bruker som ber om en eksisterende nøkkel fra KMS, filtrerer du på kms.data.method=retrieve og kms.data.type=KEY:

    Du bør finne en oppføring som:
    2020-07-21 17:44:19.889 (+0000) INFORMASJON KMS [pool-14-thread-31] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Hvis du vil se etter en bruker som ber om å opprette en ny KMS-nøkkel, filtrerer du på kms.data.method=create og kms.data.type=KEY_COLLECTION:

    Du bør finne en oppføring som:
    2020-07-21 17:44:21.975 (+0000) INFORMASJON KMS [pool-14-thread-33] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Hvis du vil se etter en bruker som ber om opprettelse av et nytt KMS-ressursobjekt (KRO) når et område eller en annen beskyttet ressurs opprettes, filtrerer du på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

    Du bør finne en oppføring som: 
    2020-07-21 17:44:22.808 (+0000) INFORMASJON KMS [pool-15-thread-1] - [KMS:REQUEST] mottatt, enhets-ID: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f Kjælebarn: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåk sikkerhets helse for hybriddata

En statusindikator i Partner Hub viser deg om alt er bra med distribusjonen av hybriddatasikkerhet for flere leietakere. For mer proaktive varsler, registrer deg for e-postvarsler. Du blir varslet når det er alarmer eller programvareoppgraderinger som påvirker tjenesten.
1

I Partner Hub velger du Tjenester fra menyen til venstre på skjermen.

2

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Rediger innstillinger.

Siden Innstillinger for hybriddatasikkerhet vises.
3

Skriv inn én eller flere e-postadresser atskilt med komma i delen E-postvarsler, og trykk på Enter.

Administrer HDS-distribusjonen din

Administrer HDS-distribusjon

Bruk oppgavene som er beskrevet her for å administrere distribusjonen av hybriddatasikkerhet.

Angi tidsplan for klyngeoppgradering

Programvareoppgraderinger for hybrid datasikkerhet utføres automatisk på klyngenivå, noe som sikrer at alle noder alltid kjører samme programvareversjon. Oppgraderinger utføres i henhold til oppgraderingsplanen for klyngen. Når en programvareoppgradering blir tilgjengelig, har du muligheten til å oppgradere klyngen manuelt før det planlagte oppgraderingstidspunktet. Du kan angi en bestemt oppgraderingsplan eller bruke standardplanen kl. 3:00 AM Daily USA: Amerika/Los Angeles. Du kan også velge å utsette en kommende oppgradering, om nødvendig.

Slik angir du oppgraderingsplanen:

1

Logg på Partner Hub.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Konfigurer

4

Velg klyngen på siden Hybrid Data Security Resources.

5

Klikk på fanen Klyngeinnstillinger .

6

Velg klokkeslett og tidssone for oppgraderingsplanen på siden Klyngeinnstillinger under Oppgraderingsplan.

Merk: Under tidssonen vises neste tilgjengelige oppgraderingsdato og -klokkeslett. Du kan utsette oppgraderingen til neste dag ved å klikke på Utsett med 24 timer.

Endre nodekonfigurasjonen

Av og til må du kanskje endre konfigurasjonen av den hybride datasikkerhetsnoden av en grunn som:

  • Endring av x.509-sertifikater på grunn av utløp eller andre årsaker.

    Vi støtter ikke endring av CN-domenenavnet for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.

  • Oppdaterer databaseinnstillinger for å endre til en kopi av PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt måte. Start en ny distribusjon av hybriddatasikkerhet for å bytte databasemiljøet.

  • Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.

Av sikkerhetshensyn bruker Hybrid Data Security også passord for tjenestekontoer som har en levetid på ni måneder. Når HDS-installasjonsverktøyet har generert disse passordene, distribuerer du dem til hver av HDS-nodene i ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløpsdato, mottar du et varsel fra Webex-teamet om å tilbakestille passordet for maskinkontoen din. (E-posten inneholder teksten "Bruk maskinkontoens API til å oppdatere passordet.") Hvis passordene dine ikke er utløpt ennå, gir verktøyet deg to alternativer:

  • Myk tilbakestilling– De gamle og de nye passordene fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.

  • Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.

Hvis passordene utløper uten tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.

Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.

Før du begynner

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fullstendige partneradministratorrettigheter.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i 1.e. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i godkjenningspolicyen.

1

Kjør HDS-installasjonsverktøyet ved hjelp av Docker på en lokal maskin.

  1. På maskinens kommandolinje angir du riktig kommando for miljøet:

    I vanlige miljøer:

    docker rmi ciscocitg/hds-oppsett:stabil

    I FedRAMP-miljøer:

    docker rmi ciscocitg/hds-setup-fedramp:stabil

    Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

  2. Skriv inn følgende for å logge på Docker-bilderegisteret:

    innlogging for dokkers brukerstøtte

  3. Skriv inn denne hashen når du blir bedt om passord:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Last ned det nyeste stabile bildet for miljøet ditt:

    I vanlige miljøer:

    hengslet trekk ciscocitg/hds-oppsett:stabil

    I FedRAMP-miljøer:

    hengslet trekk ciscocitg/hds-oppsett-fedramp:stabil

    Sørg for at du bruker det nyeste installasjonsverktøyet for denne prosedyren. Versjoner av verktøyet som er opprettet før 22. februar 2018, har ikke skjermbildene for tilbakestilling av passord.

  5. Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

    • I vanlige miljøer uten proxy:

      docker run -d 8080:8080 --rm -it ciscocitg/hds-oppsett:stabil

    • I vanlige miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I vanlige miljøer med HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljøer uten proxy:

      docker run -d 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabil

    • I FedRAMP-miljøer med HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Når containeren kjører, ser du "Express server lytter på port 8080."

  6. Bruk en nettleser til å koble til localhost, http://127.0.0.1:8080.

    Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

  7. Når du blir bedt om det, skriver du inn påloggingslegitimasjonen til Partner Hub-kunden og klikker deretter på Godta for å fortsette.

  8. Importer gjeldende ISO-konfigurasjonsfil.

  9. Følg instruksjonene for å fullføre verktøyet og laste ned den oppdaterte filen.

    Hvis du vil slå av installasjonsverktøyet, skriver du inn CTRL+C.

  10. Opprett en sikkerhetskopi av den oppdaterte filen i et annet datasenter.

2

Hvis du bare kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den ved hjelp av den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, kan du se Opprette og registrere flere noder.

  1. Installer HDS-verten OVA.

  2. Sett opp HDS VM.

  3. Monter den oppdaterte konfigurasjonsfilen.

  4. Registrer den nye noden i Partner Hub.

3

Montere ISO-filen for eksisterende HDS-noder som kjører den eldre konfigurasjonsfilen. Utfør følgende prosedyre på hver node igjen, og oppdater hver node før du slår av neste node:

  1. Slå av den virtuelle maskinen.

  2. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

  3. Klikk på CD/DVD-stasjon 1, velg alternativet for montering fra en ISO-fil, og bla til plasseringen der du lastet ned den nye ISO-konfigurasjonsfilen.

  4. Merk av for Koble til ved strøm på.

  5. Lagre endringene og strøm på den virtuelle maskinen.

4

Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen.

Slå av blokkert ekstern DNS-oppløsningsmodus

Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modus for blokkert ekstern DNS-oppløsning.

Hvis nodene dine kan løse offentlige DNS-navn gjennom interne DNS-servere, kan du slå av denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.

Før du begynner

Sørg for at dine interne DNS-servere kan løse offentlige DNS-navn, og at nodene dine kan kommunisere med dem.
1

Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/oppsett, for eksempel https://192.0.2.0/setup), angi administratorlegitimasjonen du har konfigurert for noden, og klikk deretter på Logg på.

2

Gå til Oversikt (standardsiden).

Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja.

3

Gå til siden Klareringslager og proxy .

4

Klikk på Kontroller proxy-tilkobling.

Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og vil forbli i denne modusen. Hvis ikke, etter at du har startet noden på nytt og gått tilbake til Oversikt -siden, skal Blokkert ekstern DNS-oppløsning settes til Nei.

Hva du skal gjøre nå

Gjenta proxy-tilkoblingstesten på hver node i klyngen for hybriddatasikkerhet.

Fjerne en node

Bruk denne fremgangsmåten for å fjerne en hybrid datasikkerhetsnode fra Webex-skyen. Når du har fjernet noden fra klyngen, sletter du den virtuelle maskinen for å hindre ytterligere tilgang til sikkerhetsdataene dine.
1

Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuelle maskinen.

2

Fjern noden:

  1. Logg på Partner Hub, og velg deretter Tjenester.

  2. Klikk på Vis alle på kortet for hybriddatasikkerhet for å vise siden for hybriddatasikkerhetsressurser.

  3. Velg klyngen din for å vise oversiktspanelet.

  4. Klikk på noden du vil fjerne.

  5. Klikk på Avregistrer denne noden i panelet som vises til høyre

  6. Du kan også avregistrere noden ved å klikke … til høyre for noden og velge Fjern denne noden.

3

Slett VM-en i vSphere-klienten. (Høyreklikk på VM i venstre navigasjonsrute, og klikk på Slett.)

Hvis du ikke sletter VM-en, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke VM til å få tilgang til sikkerhetsdataene dine.

Katastrofegjenoppretting ved hjelp av standbydatasenter

Den mest kritiske tjenesten som din hybride datasikkerhetsklynge tilbyr, er oppretting og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet hybriddatasikkerhet, rutes nye forespørsler om nøkkeloppretting til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.

Fordi klyngen utfører den kritiske funksjonen med å levere disse nøklene, er det viktig at klyngen forblir i drift og at riktige sikkerhetskopier opprettholdes. Tap av hybriddatasikkerhetsdatabasen eller konfigurasjons-ISO som brukes for skjemaet, vil føre til UGJENOPPRETTELIG TAP av kundeinnhold. Følgende fremgangsmåter er obligatoriske for å forhindre et slikt tap:

Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenteret blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til standbydatasenteret.

Før du begynner

Avregistrer alle noder fra Partner Hub som nevnt i Fjern en node. Bruk den nyeste ISO-filen som ble konfigurert mot nodene i klyngen som tidligere var aktiv, til å utføre failover-prosedyren som er nevnt nedenfor.
1

Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-verter.

2

Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne.

3

Ta en sikkerhetskopi av ISO-filen på ditt lokale system. Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer.

4

Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

5

Klikk på Rediger innstillinger >CD/DVD-stasjon 1 og velg ISO-fil for datalager.

Kontroller at Tilkoblet og Koble til ved påslått er merket av slik at oppdaterte konfigurasjonsendringer kan tre i kraft etter at nodene er startet.

6

Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 15 minutter.

7

Registrer noden i Partner Hub. Se Registrer den første noden i klyngen.

8

Gjenta prosessen for hver node i standbydatasenteret.

Hva du skal gjøre nå

Hvis det primære datasenteret blir aktivt igjen etter failover, avregistrerer du nodene i standby-datasenteret og gjentar prosessen med å konfigurere ISO og registrere noder i det primære datasenteret som nevnt ovenfor.

(Valgfritt) Fjern ISO etter HDS-konfigurasjon

Standard HDS-konfigurasjon kjøres med ISO-montert. Men noen kunder foretrekker ikke å forlate ISO-filer kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-nodene har tatt opp den nye konfigurasjonen.

Du bruker fortsatt ISO-filene til å foreta konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO gjennom installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en igjen med denne fremgangsmåten.

Før du begynner

Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.

1

Slå av en av HDS-nodene dine.

2

Velg HDS-noden i vCenter Server Appliance.

3

Velg Rediger innstillinger > CD/DVD-stasjon og fjern merket for ISO-fil for datalager.

4

Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 20 minutter.

5

Gjenta for hver HDS-node i sin tur.

Feilsøke hybrid datasikkerhet

Vis varsler og feilsøking

En distribusjon av hybriddatasikkerhet anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller klyngen fungerer så sakte at forespørslene blir tidsavbrutt. Hvis brukere ikke kan nå din hybride datasikkerhetsklynge, opplever de følgende symptomer:

  • Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)

  • Meldinger og områdetitler kan ikke dekrypteres for:

    • Nye brukere lagt til i et område (kan ikke hente nøkler)

    • Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)

  • Eksisterende brukere i et område vil fortsette å kjøre vellykket så lenge klientene deres har en hurtigbuffer med krypteringsnøklene

Det er viktig at du overvåker den hybride datasikkerhetsklyngen riktig og adresserer eventuelle varsler umiddelbart for å unngå tjenesteavbrudd.

Varsler

Hvis det er et problem med oppsettet av hybriddatasikkerhet, viser Partner Hub varsler til organisasjonens administrator og sender e-post til den konfigurerte e-postadressen. Varslene dekker mange vanlige scenarier.

Tabell 1. Vanlige problemer og fremgangsmåten for å løse dem

Varsel

Handling

Feil ved tilgang til lokal database.

Se etter databasefeil eller lokale nettverksproblemer.

Feil ved lokal databasetilkobling.

Kontroller at databaseserveren er tilgjengelig, og at riktig tjenestekontolegitimasjon ble brukt i nodekonfigurasjonen.

Feil ved tilgang til skytjeneste.

Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling.

Fornye registrering av skytjeneste.

Registrering til skytjenester ble avbrutt. Fornyelse av registrering pågår.

Registrering av skytjeneste avbrutt.

Registrering til skytjenester avsluttet. Tjenesten er stengt.

Tjenesten er ikke aktivert ennå.

Aktiver HDS i Partner Hub.

Konfigurert domene samsvarer ikke med serversertifikatet.

Kontroller at serversertifikatet samsvarer med det konfigurerte tjenesteaktiveringsdomenet.

Den mest sannsynlige årsaken er at sertifikatets CN nylig ble endret og nå er forskjellig fra CN som ble brukt under den første installasjonen.

Kunne ikke autentisere seg til skytjenester.

Sjekk for nøyaktighet og mulig utløp av legitimasjon for tjenestekontoen.

Kunne ikke åpne lokal nøkkelbutikkfil.

Kontroller integritet og passordnøyaktighet på den lokale nøkkelbutikkfilen.

Det lokale serversertifikatet er ugyldig.

Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans.

Kan ikke legge ut måledata.

Kontroller lokal nettverkstilgang til eksterne skytjenester.

/media/configdrive/hds-katalog finnes ikke.

Kontroller konfigurasjonen av ISO-monteringen på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å monteres ved omstart, og at den monteres.

Oppsett av leietakerorganisasjon er ikke fullført for de tilførte organisasjonene

Fullfør oppsettet ved å opprette CMK-er for nylig tillagte leietakerorganisasjoner ved hjelp av HDS-installasjonsverktøyet.

Oppsett av leietakerorganisasjon er ikke fullført for fjernede organisasjoner

Fullfør oppsettet ved å tilbakekalle CMK-er for leietakerorganisasjoner som ble fjernet ved hjelp av HDS-installasjonsverktøyet.

Feilsøke hybrid datasikkerhet

Bruk følgende generelle retningslinjer når du feilsøker problemer med hybriddatasikkerhet.
1

Se gjennom Partner Hub for eventuelle varsler og fikse eventuelle elementer du finner der. Se bildet nedenfor for referanse.

2

Se gjennom syslog-serverens utdata for aktivitet fra distribusjonen av hybriddatasikkerhet. Filtrer etter ord som "Advarsel" og "Feil" for å hjelpe til med feilsøking.

3

Kontakt Ciscos kundestøtte.

Andre merknader

Kjente problemer for hybrid datasikkerhet

  • Hvis du avslutter klyngen for hybriddatasikkerhet (ved å slette den i Partner Hub eller ved å avslutte alle noder), mister konfigurasjons-ISO-filen eller mister tilgangen til nøkkelbutikkdatabasen, kan ikke Webex-appbrukere i kundeorganisasjoner lenger bruke områder under Personer-listen sin som ble opprettet med nøkler fra KMS. Vi har for øyeblikket ingen løsning eller løsning på dette problemet, og vi oppfordrer deg til ikke å avslutte HDS-tjenestene når de håndterer aktive brukerkontoer.

  • En klient som har en eksisterende ECDH-tilkobling til en KMS opprettholder denne tilkoblingen i en tidsperiode (sannsynligvis én time).

Bruk OpenSSL til å generere en PKCS12-fil

Før du begynner

  • OpenSSL er et verktøy som kan brukes til å lage PKCS12-filen i riktig format for lasting i HDS-installasjonsverktøyet. Det finnes andre måter å gjøre dette på, og vi støtter ikke eller fremmer en måte fremfor en annen.

  • Hvis du velger å bruke OpenSSL, tilbyr vi denne prosedyren som en veiledning for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i X.509-sertifikatkrav. Forstå disse kravene før du fortsetter.

  • Installer OpenSSL i et støttet miljø. Se https://www.openssl.org for programvare og dokumentasjon.

  • Opprett en privat nøkkel.

  • Start denne prosedyren når du mottar serversertifikatet fra Certificate Authority (CA).

1

Når du mottar serversertifikatet fra din CA, lagrer du det som hdsnode.pem.

2

Vis sertifikatet som tekst og bekreft detaljene.

openssl x509 -tekst -noout -i hdsnode.pem

3

Bruk et tekstredigeringsprogram til å opprette en sertifikatbuntfil kalt hdsnode-bundle.pem. Pakkefilen må inneholde serversertifikatet, eventuelle mellomliggende CA-sertifikater og rot-CA-sertifikatene i formatet nedenfor:

-----start sertifikat------ ### Serversertifikat ### -----end sertifikat------------ start sertifikat----- ### Mellomliggende CA-sertifikat. ### -----end sertifikat------------ start sertifikat----- ### Rot-CA-sertifikat. ### -----end sertifikat-----

4

Opprett .p12-filen med det vennlige navnet kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontroller serversertifikatdetaljene.

  1. openssl pkcs12 -i eno-dsnode.p12

  2. Skriv inn et passord når du blir bedt om å kryptere den private nøkkelen slik at den blir oppført i utdata. Deretter bekrefter du at den private nøkkelen og det første sertifikatet inkluderer linjene vennligeName: kms-privat nøkkel.

    Eksempel:

    bash$ openssl pkcs12 -in hdsnode.p12 Angi importpassord: MAC bekreftet OK Bag-attributter friendlyName: kms-privat nøkkel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Nøkkelattributter:  Angi PEM-passfrase: Bekreft – angi PEM-passfrase: -----BEGIN KRYPTERT PRIVAT NØKKEL-----  -----END KRYPTERT PRIVAT NØKKEL----- Bag Attributter friendlyName: kms-privat nøkkel localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=La oss kryptere/CN=La oss kryptere autoritet X3 -----BEGIN CERTIFICATE----  -----END CERTIFICATE----- Posens attributter friendlyName: CN=La oss kryptere myndighet X3,O=La oss kryptere,C=US subject=/C=US/O=La oss kryptere myndighet X3 utsteder=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE-----  -----END CERTIFICATE------

Hva du skal gjøre nå

Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet. Du bruker hdsnode.p12 -filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-verter.

Du kan bruke disse filene på nytt for å be om et nytt sertifikat når det opprinnelige sertifikatet utløper.

Trafikk mellom HDS-nodene og skyen

Utgående metrikkinnsamlingstrafikk

Nodene for hybriddatasikkerhet sender visse målinger til Webex-skyen. Disse inkluderer systemmålinger for maks. heap, heap brukt, CPU-belastning og antall tråder, målinger på synkrone og asynkrone tråder, målinger på varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller lengde på en forespørselskø, målinger på datalageret og krypteringstilkoblingsmålinger. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).

Innkommende trafikk

Nodene for hybriddatasikkerhet mottar følgende typer innkommende trafikk fra Webex-skyen:

  • Krypteringsforespørsler fra klienter som rutes av krypteringstjenesten

  • Oppgraderinger til nodeprogramvaren

Konfigurere Squid-proxyer for hybriddatasikkerhet

Websocket kan ikke koble til via Squid-proxy

Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av websocket-tilkoblinger (wss:) som hybriddatasikkerhet krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss: trafikk for riktig drift av tjenestene.

Squid 4 og 5

Legg til on_unsupported_protocol direktivet i squid.conf:

on_unsupported_protocol tunnel alle

Squid 3.5.27

Vi testet hybriddatasikkerhet med følgende regler lagt til i squid.conf. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.

acl wssMercuryConnection ssl::server_name_regex mercury-tilkobling ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump titte step1 alle ssl_bump stirre step2 alle ssl_bump bump step3 alle

Ny og endret informasjon

Ny og endret informasjon

Denne tabellen dekker nye funksjoner eller funksjonalitet, endringer i eksisterende innhold og eventuelle store feil som ble løst i distribusjonsveiledningen for hybriddatasikkerhet for flere leietakere.

Dato

Endringer gjort

04. mars 2025

30. januar 2025

La til SQL-serverversjon 2022 i listen over støttede SQL-servere i Krav til databaseserver.

15. januar 2025

Lagt til Begrensninger for hybriddatasikkerhet for flere leietakere.

08. januar 2025

La til en merknad i Utfør innledende konfigurering og nedlasting av installasjonsfiler som sier at det er et viktig trinn i installasjonsprosessen å klikke på Konfigurer på HDS-kortet i Partner Hub.

07. januar 2025

Oppdaterte krav til virtuell vert, oppgaveflyt for distribusjon av hybrid datasikkerhet og Installer HDS Host OVA for å vise nye krav til ESXi 7.0.

13. desember 2024

Først publisert.

Deaktivere hybriddatasikkerhet for flere leietakere

Oppgaveflyt for deaktivering av HDS for flere leietakere

Følg disse trinnene for å deaktivere HDS for flere leietakere fullstendig.

Før du begynner

Denne oppgaven skal bare utføres av en fullstendig partneradministrator.
1

Fjern alle kunder fra alle klyngene dine, som nevnt i Fjern leietakerorganisasjoner.

2

Tilbakekall CMK-er for alle kunder, som nevnt i Tilbakekall CMK-er for leiere som er fjernet fra HDS..

3

Fjern alle noder fra alle klyngene dine, som nevnt i Fjern en node.

4

Slett alle klyngene dine fra Partner Hub ved hjelp av én av følgende to metoder.

  • Klikk på klyngen du vil slette, og velg Slett denne klyngen øverst til høyre på oversiktssiden.
  • På Ressurser-siden klikker du på … til høyre for en klynge, og velger Fjern klynge.
5

Klikk på fanen Innstillinger på oversiktssiden for hybriddatasikkerhet, og klikk på Deaktiver HDS på HDS-statuskortet.

Kom i gang med hybriddatasikkerhet for flere leietakere

Oversikt over hybriddatasikkerhet for flere leietakere

Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er innholdskryptering fra ende-til-ende, aktivert av Webex-appklienter som samhandler med Key Management Service (KMS). KMS er ansvarlig for å opprette og administrere kryptografiske nøkler som klienter bruker til dynamisk kryptering og dekryptering av meldinger og filer.

Som standard får alle Webex-appkunder ende-til-ende-kryptering med dynamiske nøkler lagret i skyen KMS, i Ciscos sikkerhetsområde. Hybrid Data Security flytter KMS og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, så ingen andre enn deg har nøklene til ditt krypterte innhold.

Hybriddatasikkerhet med flere leietakere gjør det mulig for organisasjoner å utnytte HDS gjennom en klarert lokal partner, som kan fungere som tjenesteleverandør og administrere lokal kryptering og andre sikkerhetstjenester. Dette oppsettet gjør det mulig for partnerorganisasjonen å ha full kontroll over distribusjon og administrasjon av krypteringsnøkler og sikrer at brukerdata fra kundeorganisasjoner er trygge mot ekstern tilgang. Partnerorganisasjoner setter opp HDS-forekomster og oppretter HDS-klynger etter behov. Hver forekomst kan støtte flere kundeorganisasjoner i motsetning til en vanlig HDS-distribusjon som er begrenset til én enkelt organisasjon.

Selv om partnerorganisasjoner har kontroll over distribusjon og administrasjon, har de ikke tilgang til data og innhold som genereres av kunder. Denne tilgangen er begrenset til kundeorganisasjoner og deres brukere.

Dette gjør det også mulig for mindre organisasjoner å utnytte HDS, siden tjeneste for nøkkeladministrasjon og sikkerhetsinfrastruktur som datasentre eies av den klarerte lokale partneren.

Hvordan hybriddatasikkerhet for flere leietakere gir datasuverenitet og datakontroll

  • Brukergenerert innhold er beskyttet mot ekstern tilgang, for eksempel skytjenesteleverandører.
  • Lokale klarerte partnere administrerer krypteringsnøklene til kunder de allerede har etablert relasjoner med.
  • Alternativ for lokal teknisk støtte, hvis den leveres av partneren.
  • Støtter innhold i møter, meldinger og anrop.

Dette dokumentet er ment å hjelpe partnerorganisasjoner med å konfigurere og administrere kunder under et hybriddatasikkerhetssystem for flere leietakere.

Begrensninger for hybriddatasikkerhet for flere leietakere

  • Partnerorganisasjoner kan ikke ha noen eksisterende HDS-distribusjon aktiv i Control Hub.
  • Leier- eller kundeorganisasjoner som ønsker å bli administrert av en partner, må ikke ha noen eksisterende HDS-distribusjon i Control Hub.
  • Når Multi-Tenant HDS er distribuert av partneren, begynner alle brukere av kundeorganisasjoner samt brukere av partnerorganisasjonen å bruke Multi-Tenant HDS for sine krypteringstjenester.

    Partnerorganisasjonen og kundeorganisasjonene de administrerer, vil være på samme HDS-distribusjon for flere leietakere.

    Partnerorganisasjonen vil ikke lenger bruke sky-KMS etter at multi-tenant HDS er distribuert.

  • Det finnes ingen mekanisme for å flytte nøkler tilbake til Cloud KMS etter en HDS-distribusjon.
  • For øyeblikket kan hver HDS-distribusjon for flere leietakere bare ha én klynge, med flere noder under den.
  • Administratorroller har visse begrensninger. Se avsnittet nedenfor for detaljer.

Roller i hybriddatasikkerhet for flere leietakere

  • Fullstendig partneradministrator – Kan administrere innstillinger for alle kunder som partneren administrerer. Kan også tilordne administratorroller til eksisterende brukere i organisasjonen og tilordne bestemte kunder som skal administreres av partneradministratorer.
  • Partneradministrator – Kan administrere innstillinger for kunder som administratoren har klargjort, eller som er tilordnet brukeren.
  • Fullverdig administrator – Administrator for partnerorganisasjonen som er autorisert til å utføre oppgaver som å endre organisasjonsinnstillinger, administrere lisenser og tilordne roller.
  • Oppsett og administrasjon av HDS med flere leietakere fra ende til ende for alle kundeorganisasjoner – fullstendig partneradministrator og fullstendige administratorrettigheter kreves.
  • Administrasjon av tilordnede leietakerorganisasjoner – Partneradministrator og fullstendige administratorrettigheter kreves.

Sikkerhetsområde arkitektur

Webex-skyarkitekturen skiller forskjellige typer tjenester inn i separate områder, eller klareringsdomener, som vist nedenfor.

Områder for separasjon (uten hybrid datasikkerhet)

For å forstå hybrid datasikkerhet ytterligere, la oss først se på dette rene skytilfellet, der Cisco leverer alle funksjonene i sine skyområder. Identitetstjenesten, det eneste stedet der brukere kan være direkte korrelert med sine personopplysninger, for eksempel e-postadresse, er logisk og fysisk adskilt fra sikkerhetsområdet i datasenter B. Begge er i sin tur adskilt fra området der kryptert innhold lagres, i datasenter C.

I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og er godkjent med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et område, utføres følgende trinn:

  1. Klienten oppretter en sikker tilkobling til nøkkeladministrasjonstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikre tilkoblingen bruker ECDH, og KMS krypterer nøkkelen ved hjelp av en hovednøkkel AES-256.

  2. Meldingen krypteres før den forlater klienten. Klienten sender det til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe i fremtidige søk etter innholdet.

  3. Den krypterte meldingen sendes til samsvarstjenesten for kontroll av samsvar.

  4. Den krypterte meldingen lagres i lagringsområdet.

Når du distribuerer hybrid datasikkerhet, flytter du sikkerhetsområdefunksjonene (KMS, indeksering og samsvar) til det lokale datasenteret. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos områder.

Samarbeide med andre organisasjoner

Brukere i organisasjonen kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne ber om en nøkkel for et område som eies av organisasjonen din (fordi det ble opprettet av en av brukerne), sender KMS nøkkelen til klienten via en ECDH-sikret kanal. Når en annen organisasjon eier nøkkelen for området, sender KMS imidlertid forespørselen ut til Webex-skyen via en egen ECDH-kanal for å hente nøkkelen fra den aktuelle KMS, og returnerer deretter nøkkelen til brukeren din på den opprinnelige kanalen.

KMS-tjenesten som kjører på Org A, validerer tilkoblingene til KMS i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Forbered miljøet hvis du vil ha mer informasjon om hvordan du genererer et x.509-sertifikat som skal brukes med distribusjonen av hybriddatasikkerhet for flere leietakere.

Forventninger til distribusjon av hybrid datasikkerhet

En distribusjon av hybrid datasikkerhet krever betydelig forpliktelse og bevissthet om risikoene som følger med å eie krypteringsnøkler.

For å distribuere hybrid datasikkerhet må du oppgi:

Fullstendig tap av enten konfigurasjons-ISO-en du bygger for hybriddatasikkerhet eller databasen du leverer, vil føre til tap av nøklene. Nøkkeltap hindrer brukere i å dekryptere områdeinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data må du:

  • Administrer sikkerhetskopiering og gjenoppretting av databasen og konfigurasjons-ISO.

  • Vær forberedt på å utføre rask katastrofegjenoppretting hvis en katastrofe oppstår, for eksempel databasediskfeil eller datasenterkatastrofe.

Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon.

Oppsettsprosess på høyt nivå

Dette dokumentet dekker oppsettet og administrasjonen av en distribusjon av hybriddatasikkerhet for flere leietakere:

  • Konfigurere hybrid datasikkerhet – Dette inkluderer klargjøring av nødvendig infrastruktur og installering av hybrid datasikkerhetsprogramvare, bygging av en HDS-klynge, tillegging av leierorganisasjoner i klyngen og administrasjon av kundens hovednøkler (CMK-er). Dette vil gjøre det mulig for alle brukere i kundeorganisasjonene dine å bruke den hybride datasikkerhetsklyngen til sikkerhetsfunksjoner.

    Installasjons-, aktiverings- og administrasjonsfasene er beskrevet i detalj i de neste tre kapitlene.

  • Oppretthold distribusjonen av hybrid datasikkerhet – Webex-skyen gir automatisk pågående oppgraderinger. IT-avdelingen din kan gi støtte på nivå én for denne distribusjonen, og engasjere Cisco-støtte etter behov. Du kan bruke varsler på skjermen og konfigurere e-postbaserte varsler i Partner Hub.

  • Forstå vanlige varsler, feilsøkingstrinn og kjente problemer– Hvis du har problemer med å distribuere eller bruke hybriddatasikkerhet, kan det siste kapitlet i denne veiledningen og vedlegget Kjente problemer hjelpe deg med å finne og løse problemet.

Distribusjonsmodell for hybrid datasikkerhet

I bedriftens datasenter distribuerer du hybrid datasikkerhet som én klynge med noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen via sikre websockets og sikre HTTP.

Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere det virtuelle apparatet på VM-ene du leverer. Du bruker HDS-installasjonsverktøyet til å opprette en egendefinert ISO-fil for klyngekonfigurasjon som du monterer på hver node. Den hybride datasikkerhetsklyngen bruker den oppgitte Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd- og databasetilkoblingsdetaljene i HDS-installasjonsverktøyet.)

Distribusjonsmodell for hybrid datasikkerhet

Minimum antall noder du kan ha i en klynge, er to. Vi anbefaler minst tre per klynge. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)

Alle noder i en klynge får tilgang til samme nøkkeldatalager og loggaktivitet til samme syslog-server. Nodene selv er statsløse, og håndterer nøkkelforespørsler på rund-robin-modus, som styres av skyen.

Noder blir aktive når du registrerer dem i Partner Hub. Hvis du vil ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.

Standby Data Center for katastrofegjenoppretting

Under distribusjonen setter du opp et sikkert standbydatasenter. I tilfelle en datasenterkatastrofe, kan du manuelt mislykkes distribusjonen til standbydatasenteret.

Før failover har datasenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-databasen, mens B har en kopi av ISO-filen med ekstra konfigurasjoner, virtuelle maskiner som er registrert i organisasjonen, og en standbydatabase. Etter failover har datasenter B aktive HDS-noder og den primære databasen, mens A har uregistrerte VM-er og en kopi av ISO-filen, og databasen er i standbymodus.
Manuell failover til standby-datasenter

Databasene til de aktive datasentrene og standbydatasentrene er synkronisert med hverandre, noe som vil minimere tiden det tar å utføre failover.

De aktive nodene for hybriddatasikkerhet må alltid være i samme datasenter som den aktive databaseserveren.

Proxy-støtte

Hybrid Data Security støtter eksplisitte, gjennomsiktige inspeksjons- og ikke-inspeksjons-proxyer. Du kan knytte disse proxyene til distribusjonen slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et plattformadministratorgrensesnitt på nodene for sertifikatadministrasjon og for å kontrollere den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.

Nodene for hybriddatasikkerhet støtter følgende proxy-alternativer:

  • Ingen proxy – Standard hvis du ikke bruker HDS-nodeoppsettet Trust Store & Proxy-konfigurasjonen til å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.

  • Gjennomsiktig ikke-inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse og bør ikke kreve endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.

  • Gjennomsiktig tunnelering eller inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjonen er nødvendig på nodene. Nodene trenger imidlertid et rotsertifikat slik at de stoler på proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).

  • Eksplisitt proxy – Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og godkjenningsskjema som skal brukes. Hvis du vil konfigurere en eksplisitt proxy, må du angi følgende informasjon på hver node:

    1. Proxy-IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

    3. Proxy-protokoll – Avhengig av hva proxy-serveren støtter, velger du mellom følgende protokoller:

      • HTTP – viser og kontrollerer alle forespørsler som klienten sender.

      • HTTPS – Gir en kanal til serveren. Klienten mottar og validerer serverens sertifikat.

    4. Godkjenningstype– velg blant følgende godkjenningstyper:

      • Ingen – ingen ytterligere godkjenning er nødvendig.

        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

      • Grunnleggende – Brukes for en HTTP-brukeragent til å oppgi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

        Krever at du skriver inn brukernavn og passord for hver node.

      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

        Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.

        Krever at du skriver inn brukernavn og passord for hver node.

Eksempel på noder og proxy for hybriddatasikkerhet

Dette diagrammet viser en eksempelkobling mellom hybriddatasikkerhet, nettverk og en proxy. For gjennomsiktig inspeksjon og eksplisitt HTTPS-inspeksjons-proxy-alternativer, må det samme rotsertifikatet være installert på proxyen og på nodene for hybriddatasikkerhet.

Blokkert ekstern DNS-oppløsningsmodus (eksplisitte proxy-konfigurasjoner)

Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-oppløsning for interne klienter, går den automatisk inn i blokkert ekstern DNS-oppløsning-modus hvis noden ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.

Forbered miljøet ditt

Krav til hybriddatasikkerhet for flere leietakere

Krav til Cisco Webex-lisens

Slik distribuerer du hybriddatasikkerhet for flere leietakere:

  • Partnerorganisasjoner: Kontakt din Cisco-partner eller kontoadministrator og sørg for at funksjonen for flere leietakere er aktivert.

  • Leietakerorganisasjoner: Du må ha Pro Pack for Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker-skrivebord

Før du installerer HDS-nodene, trenger du Docker Desktop for å kjøre et installasjonsprogram. Docker oppdaterte nylig sin lisensieringsmodell. Organisasjonen din kan kreve et betalt abonnement på Docker Desktop. Hvis du vil ha mer informasjon, kan du se innlegget til Docker-bloggen, «Docker oppdaterer og utvider våre produktabonnementer».

Kunder uten en Docker Desktop-lisens kan bruke et verktøy for administrasjon av containere med åpen kildekode som Podman Desktop til å kjøre, administrere og opprette containere. Se Kjør HDS-installasjonsverktøy ved hjelp av Podman Desktop for detaljer.

X.509-sertifikatkrav

Sertifikatkjeden må oppfylle følgende krav:

Tabell 1. X.509-sertifikatkrav for distribusjon av hybriddatasikkerhet

Krav

Detaljer

  • Signert av en klarert sertifiseringsinstans (CA)

Som standard stoler vi på sertifiseringsinstansene i Mozilla-listen (med unntak av WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har et Common Name (CN) domenenavn som identifiserer din distribusjon av hybriddatasikkerhet

  • Er ikke et jokertegn

CN trenger ikke å være tilgjengelig eller en direkte vert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel hds.company.com.

CN kan ikke inneholde et * (jokertegn).

CN brukes til å bekrefte nodene for hybriddatasikkerhet til Webex-appklienter. Alle nodene for hybriddatasikkerhet i klyngen bruker det samme sertifikatet. KMS identifiserer seg selv ved hjelp av CN-domenet, ikke et domene som er definert i x.509v3 SAN-feltene.

Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN-domenenavnet.

  • Ikke-SHA1-signatur

KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjons KMS-er.

  • Formatert som en passordbeskyttet PKCS #12-fil

  • Bruk det vennlige navnet på kms-private-key for å tagge sertifikatet, privat nøkkel og eventuelle mellomliggende sertifikater som skal lastes opp.

Du kan bruke en konverter som OpenSSL til å endre sertifikatets format.

Du må angi passordet når du kjører HDS-installasjonsverktøyet.

KMS-programvaren håndhever ikke nøkkelbruk eller utvidede begrensninger for nøkkelbruk. Noen sertifikatmyndigheter krever at utvidede nøkkelbruksbegrensninger brukes på hvert sertifikat, for eksempel servergodkjenning. Det er greit å bruke servergodkjenningen eller andre innstillinger.

Krav til virtuell vert

De virtuelle vertene som du vil konfigurere som Hybrid Data Security-noder i klyngen har følgende krav:

  • Minst to separate verter (3 anbefales) plassert i samme sikre datasenter

  • VMware ESXi 7.0 (eller nyere) installert og kjører.

    Du må oppgradere hvis du har en tidligere versjon av ESXi.

  • Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokalt harddiskplass per server

Krav til databaseserver

Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-programmene oppretter databaseskjemaet når de er installert.

Det finnes to alternativer for databaseserver. Kravene til hver av dem er som følger:

Tabell 2. Databaseserverkrav etter type database

PostgreSql

Microsoft SQL Server

  • PostgreSQL 14, 15 eller 16, installert og kjører.

  • SQL Server 2016, 2017, 2019 eller 2022 (Enterprise eller Standard) installert.

    SQL Server 2016 krever Service Pack 2 og kumulativ oppdatering 2 eller nyere.

Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at det ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at det ikke overskrides (2 TB anbefales hvis du vil kjøre databasen i lang tid uten å måtte øke lagringsplassen)

HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserveren:

PostgreSql

Microsoft SQL Server

Postgres JDBC driver 42.2.5

SQL Server JDBC driver 4.6

Denne driverversjonen støtter SQL Server Always On (Always On Failover Cluster Instances og Always On Availability Groups).

Ytterligere krav for Windows-godkjenning mot Microsoft SQL Server

Hvis du vil at HDS-noder skal bruke Windows-godkjenning for å få tilgang til Keystore-databasen på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:

  • HDS-nodene, Active Directory-infrastrukturen og MS SQL Server må alle synkroniseres med NTP.

  • Windows-kontoen du oppgir til HDS-noder, må ha lese-/skrivetilgang til databasen.

  • DNS-serverne du leverer til HDS-noder, må kunne løse nøkkeldistribusjonssenteret (KDC).

  • Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et tjenestehovednavn (SPN) i Active Directory. Se Registrer tjenestens hovednavn for Kerberos-tilkoblinger.

    HDS-installasjonsverktøyet, HDS-oppstartsprogrammet og lokal KMS må bruke Windows-godkjenning for å få tilgang til nøkkelbutikkdatabasen. De bruker detaljene fra ISO-konfigurasjonen til å konstruere SPN-en når de ber om tilgang med Kerberos-godkjenning.

Krav til ekstern tilkobling

Konfigurer brannmuren slik at den tillater følgende tilkobling for HDS-programmene:

Applikasjon

Protokoll

Port

Retning fra appen

Destinasjon

Noder for hybriddatasikkerhet

tcp

443

Utgående HTTPS og WSS

  • Webex-servere:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-verter

  • Andre URL-adresser som er oppført for hybriddatasikkerhet i tabellen Ytterligere URL-adresser for Webex-hybridtjenester med Nettverkskrav for Webex-tjenester

HDS-oppsettsverktøy

tcp

443

Utgående HTTPS

  • *.wbx2.com

  • Alle Common Identity-verter

  • hub.docker.com

Nodene for hybriddatasikkerhet fungerer med oversettelse av nettverkstilgang (NAT) eller bak en brannmur, så lenge NAT eller brannmuren tillater de nødvendige utgående tilkoblingene til domenet-målene i tabellen ovenfor. Ingen porter skal være synlige fra Internett for tilkoblinger som går inn til nodene for hybriddatasikkerhet. I datasenteret trenger klienter tilgang til nodene for hybriddatasikkerhet på TCP-portene 443 og 22 av administrative grunner.

URL-adressene for Common Identity (CI)-vertene er områdespesifikke. Dette er de gjeldende CI-vertene:

Region

URL-adresser for Common Identity Host

Nord-Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Den europeiske union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

De forente arabiske emirater

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Krav til proxy-server

  • Vi støtter offisielt følgende proxy-løsninger som kan integreres med nodene for hybriddatasikkerhet.

    • Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).

    • Eksplisitt proxy – Squid.

      Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre opprettelsen av websocket-tilkoblinger (wss:). Hvis du vil omgå dette problemet, kan du se Konfigurere Squid-proxyer for hybriddatasikkerhet.

  • Vi støtter følgende kombinasjoner av godkjenningstyper for eksplisitte proxyer:

    • Ingen godkjenning med HTTP eller HTTPS

    • Grunnleggende godkjenning med HTTP eller HTTPS

    • Digest-godkjenning kun med HTTPS

  • For en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne veiledningen forteller deg hvordan du laster opp kopien til klareringslagrene for hybriddatasikkerhetsnodene.

  • Nettverket som er vert for HDS-nodene, må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rute gjennom proxyen.

  • Proxyer som inspiserer webtrafikk kan forstyrre Web Socket-tilkoblinger. Hvis dette problemet oppstår, vil det å omgå (ikke inspisere) trafikk til wbx2.com og ciscospark.com løse problemet.

Fullfør forutsetningene for hybrid datasikkerhet

Bruk denne sjekklisten til å sikre at du er klar til å installere og konfigurere den hybride datasikkerhetsklyngen.
1

Sørg for at partnerorganisasjonen din har HDS-funksjonen for flere leietakere aktivert og få legitimasjonen til en konto med fullstendig partneradministrator og fullstendige administratorrettigheter. Påse at Webex-kundeorganisasjonen er aktivert for Pro Pack for Cisco Webex Control Hub. Kontakt din Cisco-partner eller kontoadministrator for å få hjelp med denne prosessen.

Kundeorganisasjoner skal ikke ha noen eksisterende HDS-distribusjon.

2

Velg et domenenavn for HDS-distribusjonen (for eksempel hds.company.com) og få en sertifikatkjede som inneholder et X.509-sertifikat, privat nøkkel og eventuelle mellomliggende sertifikater. Sertifikatkjeden må oppfylle kravene i X.509 Sertifikatkrav.

3

Klargjør identiske virtuelle verter som du vil konfigurere som Hybrid Data Security-noder i klyngen. Du trenger minst to separate verter (3 anbefales) plassert i samme sikre datasenter, som oppfyller kravene i Krav til virtuelle verter.

4

Klargjør databaseserveren som skal fungere som nøkkeldatalager for klyngen, i henhold til Databaseserverkrav. Databaseserveren må være plassert i det sikre datasenteret med de virtuelle vertene.

  1. Opprett en database for nøkkellagring. (Du må opprette denne databasen – ikke bruk standarddatabasen. HDS-programmene oppretter databaseskjemaet når de er installert.)

  2. Samle inn detaljene som nodene skal bruke til å kommunisere med databaseserveren:

    • vertsnavnet eller IP-adressen (vert) og port

    • navnet på databasen (dbname) for nøkkellagring

    • brukernavnet og passordet til en bruker med alle rettigheter i databasen for nøkkellagring

5

For rask katastrofegjenoppretting konfigurerer du et sikkerhetskopieringsmiljø i et annet datasenter. Sikkerhetskopieringsmiljøet gjenspeiler produksjonsmiljøet til VM-er og en sikkerhetskopidatabaseserver. Hvis for eksempel produksjonen har 3 VM-er som kjører HDS-noder, skal sikkerhetskopieringsmiljøet ha 3 VM-er.

6

Sett opp en syslog-vert for å samle inn logger fra nodene i klyngen. Samle nettverksadressen og syslog-porten (standard er UDP 514).

7

Opprett en sikker sikkerhetskopieringspolicy for nodene for hybriddatasikkerhet, databaseserveren og syslog-verten. For å forhindre ugjenopprettelig tap av data må du som minimum sikkerhetskopiere databasen og konfigurasjonsfilen som genereres for nodene for hybriddatasikkerhet.

Fordi nodene for hybriddatasikkerhet lagrer nøklene som brukes til kryptering og dekryptering av innhold, vil manglende vedlikehold av en operativ distribusjon føre til UGJENOPPRETTELIG TAP av dette innholdet.

Webex-appklienter bufrer nøklene sine, så det kan hende at et driftsbrudd ikke er umiddelbart merkbart, men vil bli tydelig over tid. Selv om midlertidige avbrudd er umulig å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopieringer tilgjengelig) av enten databasen eller konfigurasjons-ISO-filen vil imidlertid føre til ugjenopprettbare kundedata. Operatørene av nodene for hybriddatasikkerhet forventes å opprettholde hyppige sikkerhetskopieringer av databasen og konfigurasjonsfilen, og være forberedt på å gjenoppbygge datasenteret for hybriddatasikkerhet hvis det oppstår en katastrofal feil.

8

Kontroller at brannmurkonfigurasjonen tillater tilkobling for hybriddatasikkerhetsnodene som beskrevet i Krav til ekstern tilkobling.

9

Installer Docker ( https://www.docker.com) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-biters, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til det på http://127.0.0.1:8080.

Du bruker Docker-forekomsten til å laste ned og kjøre HDS-installasjonsverktøyet, som bygger den lokale konfigurasjonsinformasjonen for alle nodene for hybriddatasikkerhet. Du trenger kanskje en Docker Desktop-lisens. Se Krav til Docker Desktop for mer informasjon.

For å installere og kjøre HDS-installasjonsverktøyet må den lokale maskinen ha tilkoblingen beskrevet i Krav til ekstern tilkobling.

10

Hvis du integrerer en proxy med hybriddatasikkerhet, må du sørge for at den oppfyller kravene til proxy-serveren.

Konfigurere en klynge for hybriddatasikkerhet

Oppgaveflyt for distribusjon av hybrid datasikkerhet

Før du begynner

1

Utfør første konfigurasjon og last ned installasjonsfiler

Last ned OVA-filen til din lokale maskin for senere bruk.

2

Opprette en konfigurasjons-ISO for HDS-verter

Bruk HDS-installasjonsverktøyet til å opprette en ISO-konfigurasjonsfil for nodene for hybriddatasikkerhet.

3

Installere HDS Host OVA

Opprett en virtuell maskin fra OVA-filen og utfør første konfigurasjon, for eksempel nettverksinnstillinger.

Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 7.0. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

4

Konfigurere VM for hybriddatasikkerhet

Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA ble distribuert.

5

Laste opp og montere konfigurasjons-ISO for HDS

Konfigurer VM fra ISO-konfigurasjonsfilen du opprettet med HDS-installasjonsverktøyet.

6

Konfigurere HDS-noden for proxy-integrering

Hvis nettverksmiljøet krever proxy-konfigurasjon, angir du hvilken type proxy du vil bruke for noden, og legger til proxy-sertifikatet i klareringslageret om nødvendig.

7

Registrer den første noden i klyngen

Registrer VM med Cisco Webex-skyen som en hybrid datasikkerhetsnode.

8

Opprett og registrer flere noder

Fullfør klyngeoppsettet.

9

Aktiver HDS for flere leietakere på Partner Hub.

Aktiver HDS og administrer leierorganisasjoner på Partner Hub.

Utfør første konfigurasjon og last ned installasjonsfiler

I denne oppgaven laster du ned en OVA-fil til maskinen din (ikke til serverne du konfigurerer som Hybrid Data Security-noder). Du bruker denne filen senere i installasjonsprosessen.

1

Logg på Partner Hub, og klikk deretter på Tjenester.

2

Finn kortet for hybriddatasikkerhet under Skytjenester, og klikk deretter på Konfigurer.

Å klikke på Konfigurer i Partner Hub er avgjørende for distribusjonsprosessen. Ikke fortsett med installasjonen uten å fullføre dette trinnet.

3

Klikk på Legg til en ressurs , og klikk på Last ned .OVA-fil på kortet Installer og konfigurer programvare .

Eldre versjoner av programvarepakken (OVA) vil ikke være kompatible med de nyeste oppgraderingene for hybriddatasikkerhet. Dette kan føre til problemer under oppgradering av programmet. Sørg for at du laster ned den nyeste versjonen av OVA-filen.

Du kan også laste ned OVA når som helst fra Hjelp -delen. Klikk på Innstillinger > Hjelp > Last ned programvare for hybriddatasikkerhet.

OVA-filen begynner automatisk å lastes ned. Lagre filen på en plassering på maskinen.
4

Du kan eventuelt klikke på Se distribusjonsveiledning for hybriddatasikkerhet for å sjekke om det finnes en senere versjon av denne veiledningen.

Opprette en konfigurasjons-ISO for HDS-verter

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

Før du begynner
1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

docker login -u hdscustomersro
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

På siden ISO-import har du disse alternativene:

  • Nei– Hvis du oppretter din første HDS-node, har du ikke en ISO-fil å laste opp.
  • Ja – Hvis du allerede har opprettet HDS-noder, velger du ISO-filen din i nettleseren og laster den opp.
10

Kontroller at X.509-sertifikatet oppfyller kravene i X.509-sertifikatkrav.

  • Hvis du aldri har lastet opp et sertifikat før, laster du opp X.509-sertifikatet, skriver inn passordet og klikker på Fortsett.
  • Hvis sertifikatet er OK, klikker du på Fortsett.
  • Hvis sertifikatet har utløpt eller du vil erstatte det, velger du Nei for Fortsett å bruke HDS-sertifikatkjede og privat nøkkel fra forrige ISO?. Last opp et nytt X.509-sertifikat, skriv inn passordet, og klikk på Fortsett.
11

Skriv inn databaseadressen og kontoen for HDS for å få tilgang til nøkkeldatalageret:

  1. Velg Databasetype (PostgreSQL eller Microsoft SQL Server).

    Hvis du velger Microsoft SQL Server, får du et felt for godkjenningstype.

  2. (Kun Microsoft SQL Server ) Velg godkjenningstype:

    • Grunnleggende godkjenning: Du trenger et lokalt SQL Server-kontonavn i Brukernavn -feltet.

    • Windows-godkjenning: Du trenger en Windows-konto i formatet username@DOMAIN i Brukernavn -feltet.

  3. Skriv inn databaseserveradressen i skjemaet : eller :.

    Eksempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan bruke en IP-adresse for grunnleggende godkjenning, hvis nodene ikke kan bruke DNS til å løse vertsnavnet.

    Hvis du bruker Windows-godkjenning, må du angi et fullt kvalifisert domenenavn i formatet dbhost.example.org:1433

  4. Skriv inn Databasenavn.

  5. Skriv inn Brukernavn og Passord til en bruker med alle rettigheter i databasen for nøkkellagring.

12

Velg en TLS-databasetilkoblingsmodus:

Modus

Beskrivelse

Foretrekker TLS (standardalternativ)

HDS-noder krever ikke TLS for å koble til databaseserveren. Hvis du aktiverer TLS på databaseserveren, forsøker nodene en kryptert tilkobling.

Krev TLS

HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

Krev TLS og bekreft sertifikatsignerer

Denne modusen gjelder ikke for SQL Server-databaser.

  • HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

  • Etter å ha opprettet en TLS-tilkobling, sammenligner noden signeringen av sertifikatet fra databaseserveren med sertifikatmyndigheten i Databaserotsertifikat. Hvis de ikke samsvarer, mister noden tilkoblingen.

Bruk kontrollen Databaserotsertifikat under rullegardinlisten for å laste opp rotsertifikatet for dette alternativet.

Krev TLS og bekreft sertifikatsignerer og vertsnavn

  • HDS-noder kobles bare til hvis databaseserveren kan forhandle TLS.

  • Etter å ha opprettet en TLS-tilkobling, sammenligner noden signeringen av sertifikatet fra databaseserveren med sertifikatmyndigheten i Databaserotsertifikat. Hvis de ikke samsvarer, mister noden tilkoblingen.

  • Nodene bekrefter også at vertsnavnet i serversertifikatet samsvarer med vertsnavnet i feltet Databasevert og port . Navnene må samsvare nøyaktig, ellers mister noden tilkoblingen.

Bruk kontrollen Databaserotsertifikat under rullegardinlisten for å laste opp rotsertifikatet for dette alternativet.

Når du laster opp rotsertifikatet (om nødvendig) og klikker på Fortsett, tester HDS-installasjonsverktøyet TLS-tilkoblingen til databaseserveren. Verktøyet bekrefter også sertifikatsigneringen og vertsnavnet, hvis aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan HDS-nodene være i stand til å etablere TLS-tilkoblingen selv om HDS-installasjonsverktøyet ikke kan teste den.)

13

På siden Systemlogger konfigurerer du Syslogd-serveren:

  1. Skriv inn URL-adressen til syslog-serveren.

    Hvis serveren ikke kan løses DNS fra nodene for HDS-klyngen, bruker du en IP-adresse i URL-adressen.

    Eksempel:
    udp://10.92.43.23:514 angir logging til Syslogd-verten 10.92.43.23 på UDP-port 514.

  2. Hvis du konfigurerer serveren til å bruke TLS-kryptering, merker du av for Er syslog-serveren konfigurert for SSL-kryptering?.

    Hvis du merker av i denne avmerkingsboksen, må du sørge for at du skriver inn en TCP-URL, for eksempel tcp://10.92.43.23:514.

  3. Fra rullegardinlisten Velg avslutning av syslog-post velger du riktig innstilling for ISO-filen: Velg eller Newline brukes for Graylog og Rsyslog TCP

    • Null byte -- \x00

    • Newline -- \n– Velg dette alternativet for Graylog og Rsyslog TCP.

  4. Klikk på Fortsett.

14

(Valgfritt) Du kan endre standardverdien for noen parametere for databasetilkobling i Avanserte innstillinger. Generelt er denne parameteren den eneste du kanskje vil endre:

app_datasource_connection_pool_maxSize: 10
15

Klikk på Fortsett på skjermen Tilbakestill passord for tjenestekontoer .

Passord for tjenestekontoen har en levetid på ni måneder. Bruk dette skjermbildet når passordene nærmer seg utløpsdatoen, eller du vil tilbakestille dem til å ugyldiggjøre tidligere ISO-filer.

16

Klikk på Last ned ISO-fil. Lagre filen på et sted som er lett å finne.

17

Ta en sikkerhetskopi av ISO-filen på ditt lokale system.

Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer.

18

Hvis du vil slå av installasjonsverktøyet, skriver du inn CTRL+C.

Hva du skal gjøre nå

Sikkerhetskopier ISO-konfigurasjonsfilen. Du trenger den for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopier av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.

Vi har aldri en kopi av denne nøkkelen og kan ikke hjelpe hvis du mister den.

Installere HDS Host OVA

Bruk denne fremgangsmåten for å opprette en virtuell maskin fra OVA-filen.
1

Bruk VMware vSphere-klienten på datamaskinen for å logge på den virtuelle ESXi-verten.

2

Velg Fil > Distribuer OVF-mal.

3

I veiviseren angir du plasseringen til OVA-filen du lastet ned tidligere, og klikker deretter på Neste.

4

På siden Velg et navn og mappe skriver du inn et Virtuelt maskinnavn for noden (for eksempel «HDS_Node_1»), velger et sted der den virtuelle maskinnodedistribusjonen kan ligge, og klikker deretter på Neste.

5

På siden Velg en beregningsressurs velger du destinasjonsberegningsressursen, og klikker deretter på Neste.

En valideringskontroll kjører. Når den er ferdig, vises maldetaljene.

6

Bekreft maldetaljene, og klikk deretter på Neste.

7

Hvis du blir bedt om å velge ressurskonfigurasjonen på Konfigurasjon -siden, klikker du på 4 CPU og klikker deretter på Neste.

8

På siden Velg lagring klikker du på Neste for å godta standard diskformat og retningslinjer for lagring av VM.

9

På siden Velg nettverk velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til VM-en.

10

Konfigurer følgende nettverksinnstillinger på siden Tilpass mal :

  • Vertsnavn– angi FQDN (vertsnavn og domene) eller et enkelt ord vertsnavn for noden.

    • Du trenger ikke å angi domenet til å samsvare med domenet du brukte til å skaffe X.509-sertifikatet.

    • For å sikre vellykket registrering til skyen må du bare bruke små bokstaver i FQDN eller vertsnavnet du angir for noden. Kapitalisering støttes ikke på dette tidspunktet.

    • Den totale lengden på FQDN må ikke overstige 64 tegn.

  • IP-adresse– angi IP-adressen for nodens interne grensesnitt.

    Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke.

  • Maske– Angi nettverksmaskens adresse i punkt-desimalnotasjon. For eksempel 255.255.255.0.
  • Gateway– angi gatewayens IP-adresse. En gateway er en nettverksnode som fungerer som et tilgangspunkt til et annet nettverk.
  • DNS-servere – Skriv inn en kommaseparert liste over DNS-servere som håndterer å oversette domenenavn til numeriske IP-adresser. (Opptil 4 DNS-oppføringer er tillatt.)
  • NTP-servere– Angi organisasjonens NTP-server eller en annen ekstern NTP-server som kan brukes i organisasjonen. Standard NTP-servere fungerer kanskje ikke for alle bedrifter. Du kan også bruke en kommadelt liste til å angi flere NTP-servere.

  • Distribuer alle nodene på samme subnett eller VLAN, slik at alle nodene i en klynge kan nås fra klienter i nettverket ditt for administrative formål.

Hvis du vil, kan du hoppe over konfigurasjonen av nettverksinnstillingene og følge trinnene i Konfigurere VM for hybriddatasikkerhet for å konfigurere innstillingene fra nodekonsollen.

Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon er testet med ESXi 7.0. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

11

Høyreklikk på noden VM, og velg deretter Power > Power On.

Programvaren for hybrid datasikkerhet installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden.

Feilsøkingstips

Du kan oppleve en forsinkelse på noen minutter før nodebeholderne kommer opp. Det vises en brobrannmurmelding på konsollen under første oppstart, hvor du ikke kan logge på.

Konfigurere VM for hybriddatasikkerhet

Bruk denne fremgangsmåten til å logge på VM-konsollen for hybriddatasikkerhetsnoden for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA ble distribuert.

1

I VMware vSphere-klienten velger du den hybride datasikkerhetsnoden VM og velger fanen Konsoll .

VM starter opp og en melding om pålogging vises. Hvis meldingen om pålogging ikke vises, trykker du på Enter.
2

Bruk følgende standard pålogging og passord for å logge på og endre legitimasjonen:

  1. Pålogging: admin

  2. Passord: cisco

Siden du logger på VM for første gang, må du endre administratorpassordet.

3

Hvis du allerede har konfigurert nettverksinnstillingene i Installer HDS Host OVA, hopper du over resten av denne prosedyren. Hvis ikke, velger du alternativet Rediger konfigurasjon i hovedmenyen.

4

Konfigurer en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke.

5

(Valgfritt) Endre vertsnavnet, domenet eller NTP-serveren(e) om nødvendig for å samsvare med nettverkspolicyen.

Du trenger ikke å angi domenet til å samsvare med domenet du brukte til å skaffe X.509-sertifikatet.

6

Lagre nettverkskonfigurasjonen og start VM på nytt slik at endringene trer i kraft.

Laste opp og montere konfigurasjons-ISO for HDS

Bruk denne fremgangsmåten til å konfigurere den virtuelle maskinen fra ISO-filen du opprettet med HDS-installasjonsverktøyet.

Før du begynner

Fordi ISO-filen innehar hovednøkkelen, bør den bare eksponeres på "trenger å vite"-basis, for tilgang for virtuelle maskiner for hybriddatasikkerhet og eventuelle administratorer som må gjøre endringer. Sørg for at bare disse administratorene har tilgang til datalageret.

1

Last opp ISO-filen fra datamaskinen:

  1. Klikk på ESXi-serveren i venstre navigasjonsrute til VMware vSphere-klienten.

  2. Klikk på Lagring i Maskinvare-listen i kategorien Konfigurasjon.

  3. Høyreklikk på datalageret for VM-ene i listen Datalagerer, og klikk på Bla gjennom datalageret.

  4. Klikk på ikonet Last opp filer, og klikk deretter på Last opp fil.

  5. Bla til plasseringen der du lastet ned ISO-filen på datamaskinen, og klikk på Åpne.

  6. Klikk på Ja for å godta advarselen om opplasting/nedlasting og lukke dialogboksen for datalager.

2

Montere ISO-fil:

  1. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

  2. Klikk på OK for å godta advarselen om begrensede redigeringsalternativer.

  3. Klikk på CD/DVD Drive 1, velg alternativet for å montere fra en ISO-fil for datalager, og bla til plasseringen der du lastet opp ISO-konfigurasjonsfilen.

  4. Kontroller Tilkoblet og Koble til ved strøm på.

  5. Lagre endringene og start den virtuelle maskinen på nytt.

Hva du skal gjøre nå

Hvis IT-policyen krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene har plukket opp konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.

Konfigurere HDS-noden for proxy-integrering

Hvis nettverksmiljøet krever en proxy, bruker du denne fremgangsmåten til å angi hvilken type proxy du vil integrere med hybrid datasikkerhet. Hvis du velger en gjennomsiktig inspeksjons-proxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet, og feilsøke eventuelle problemer.

Før du begynner

1

Skriv inn URL-adressen for HDS-nodeoppsett https://[HDS Node IP or FQDN]/setup i en nettleser, skriv inn administratorlegitimasjonen du har konfigurert for noden, og klikk deretter på Logg på.

2

Gå til Klareringslager og proxy, og velg deretter et alternativ:

  • Ingen proxy – Standardalternativet før du integrerer en proxy. Ingen sertifikatoppdatering er nødvendig.
  • Gjennomsiktig ikke-inspeksjons-proxy– Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse og bør ikke kreve endringer for å fungere med en ikke-inspeksjons-proxy. Ingen sertifikatoppdatering er nødvendig.
  • Gjennomsiktig inspeksjons-proxy – Nodene er ikke konfigurert til å bruke en bestemt proxy-serveradresse. Ingen endringer i HTTPS-konfigurasjonen er nødvendig på distribusjonen av hybriddatasikkerhet, men HDS-nodene trenger et rotsertifikat for å klarere proxyen. Inspeksjons-proxyer brukes vanligvis av IT til å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
  • Eksplisitt proxy – Med eksplisitt proxy forteller du klienten (HDS-noder) hvilken proxy-server som skal brukes, og dette alternativet støtter flere godkjenningstyper. Når du har valgt dette alternativet, må du angi følgende informasjon:

    1. Proxy-IP/FQDN – Adresse som kan brukes til å nå proxy-maskinen.

    2. Proxy-port – Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

    3. Proxy Protocol – Velg http (viser og kontrollerer alle forespørsler som mottas fra klienten) eller https (gir en kanal til serveren, og klienten mottar og validerer serverens sertifikat). Velg et alternativ basert på hva proxy-serveren støtter.

    4. Godkjenningstype– velg blant følgende godkjenningstyper:

      • Ingen – ingen ytterligere godkjenning er nødvendig.

        Tilgjengelig for HTTP- eller HTTPS-proxyer.

      • Grunnleggende – Brukes for en HTTP-brukeragent til å oppgi brukernavn og passord når du foretar en forespørsel. Bruker Base64-koding.

        Tilgjengelig for HTTP- eller HTTPS-proxyer.

        Hvis du velger dette alternativet, må du også angi brukernavn og passord.

      • Sammendrag – Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før det sendes over nettverket.

        Kun tilgjengelig for HTTPS-proxyer.

        Hvis du velger dette alternativet, må du også angi brukernavn og passord.

Følg de neste trinnene for en gjennomsiktig inspeksjons-proxy, en eksplisitt HTTP-proxy med grunnleggende godkjenning eller en eksplisitt HTTPS-proxy.

3

Klikk på Last opp et rotsertifikat eller sluttenhetssertifikat, og gå deretter til å velge rotsertifikatet for proxyen.

Sertifikatet er lastet opp, men er ennå ikke installert fordi du må starte noden på nytt for å installere sertifikatet. Klikk på chevron-pilen ved navnet på sertifikatutstederen for å få mer informasjon, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt.

4

Klikk på Kontroller proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen.

Hvis tilkoblingstesten mislykkes, får du en feilmelding som viser årsaken og hvordan du kan løse problemet.

Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren. Denne tilstanden forventes i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-oppløsning. Hvis du tror dette er en feil, fullfører du disse trinnene og ser Slå av blokkert ekstern DNS-oppløsningsmodus.

5

Etter at tilkoblingstesten er bestått, bare for eksplisitt proxy satt til https, slår du veksleknappen til Rute alle port 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen tar 15 sekunder før den trer i kraft.

6

Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en gjennomsiktig inspeksjons-proxy) eller Start på nytt (vises for en eksplisitt HTTP-proxy), les ledeteksten og klikk deretter på Installer hvis du er klar.

Noden starter på nytt innen noen få minutter.

7

Når noden har startet på nytt, logger du på igjen om nødvendig og åpner deretter Oversikt -siden for å sjekke tilkoblingskontrollene for å sikre at alle er i grønn status.

Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det er tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres ved proxyen.

Registrer den første noden i klyngen

Denne oppgaven tar den generiske noden du opprettet i Konfigurer VM for hybrid datasikkerhet, registrerer noden i Webex-skyen og gjør den om til en hybrid datasikkerhetsnode.

Når du registrerer din første node, oppretter du en klynge som noden er tilordnet til. En klynge inneholder én eller flere noder som er distribuert for å gi redundans.

Før du begynner

  • Når du begynner å registrere en node, må du fullføre den innen 60 minutter, eller du må starte på nytt.

  • Sørg for at eventuelle popup-blokkere i nettleseren er deaktivert, eller at du tillater et unntak for admin.webex.com.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du kortet for hybriddatasikkerhet og klikker på Konfigurer.

4

Klikk på Legg til en ressurs på siden som åpnes.

5

I det første feltet i Legg til en node -kortet skriver du inn et navn på klyngen du vil tilordne hybriddatasikkerhetsnoden til.

Vi anbefaler at du navngir en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: "San Francisco" eller "New York" eller "Dallas"

6

I det andre feltet skriver du inn den interne IP-adressen eller det fullstendige domenenavnet (FQDN) til noden og klikker på Legg til nederst på skjermen.

Denne IP-adressen eller FQDN skal samsvare med IP-adressen eller vertsnavnet og domenet du brukte i Konfigurere VM for hybriddatasikkerhet.

Det vises en melding som angir at du kan registrere noden din til Webex.
7

Klikk på Gå til node.

Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi tillatelse til Webex-organisasjonen din for å få tilgang til noden din.

8

Merk av i avkrysningsboksen Gi tilgang til din hybride datasikkerhetsnode , og klikk deretter på Fortsett.

Kontoen din er validert, og meldingen «Registreringen er fullført» indikerer at noden din nå er registrert i Webex-skyen.
9

Klikk på koblingen eller lukk fanen for å gå tilbake til Partner Hub Hybrid Data Security-siden.

På siden Hybriddatasikkerhet vises den nye klyngen som inneholder noden du registrerte, under Ressurser -fanen. Noden vil automatisk laste ned den nyeste programvaren fra skyen.

Opprett og registrer flere noder

Hvis du vil legge til flere noder i klyngen, oppretter du ganske enkelt flere VM-er og monterer den samme ISO-konfigurasjonsfilen og registrerer noden. Vi anbefaler at du har minst 3 noder.

Før du begynner

  • Når du begynner å registrere en node, må du fullføre den innen 60 minutter, eller du må starte på nytt.

  • Sørg for at eventuelle popup-blokkere i nettleseren er deaktivert, eller at du tillater et unntak for admin.webex.com.

1

Opprett en ny virtuell maskin fra OVA, og gjenta trinnene i Installer HDS Host OVA.

2

Konfigurer den første konfigurasjonen på den nye VM-en, og gjenta trinnene i Konfigurer VM for hybriddatasikkerhet.

3

På den nye VM gjentar du trinnene i Last opp og monter HDS-konfigurasjons-ISO.

4

Hvis du konfigurerer en proxy for distribusjonen, gjentar du trinnene i Konfigurer HDS-noden for proxy-integrasjon etter behov for den nye noden.

5

Registrer noden.

  1. I https://admin.webex.com velger du Tjenester fra menyen til venstre på skjermen.

  2. Finn kortet for hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

    Siden Ressurser for hybriddatasikkerhet vises.

  3. Den nylig opprettede klyngen vises på Ressurser -siden.

  4. Klikk på klyngen for å vise nodene som er tilordnet klyngen.

  5. Klikk på Legg til en node til høyre på skjermen.

  6. Skriv inn den interne IP-adressen eller fullt kvalifisert domenenavn (FQDN) til noden, og klikk på Legg til.

    En side åpnes med en melding om at du kan registrere noden din i Webex-skyen. Etter et øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Gi tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi organisasjonen tillatelse til å få tilgang til noden din.

  7. Merk av i avkrysningsboksen Gi tilgang til din hybride datasikkerhetsnode , og klikk deretter på Fortsett.

    Kontoen din er validert, og meldingen «Registreringen er fullført» indikerer at noden din nå er registrert i Webex-skyen.

  8. Klikk på koblingen eller lukk fanen for å gå tilbake til Partner Hub Hybrid Data Security-siden.

    Node lagt til popup-melding vises også nederst på skjermen i Partner Hub.

    Noden din er registrert.

Administrere leietakerorganisasjoner for hybriddatasikkerhet for flere leietakere

Aktivere HDS for flere leietakere på Partner Hub

Denne oppgaven sikrer at alle brukere av kundeorganisasjonene kan begynne å bruke HDS for lokale krypteringsnøkler og andre sikkerhetstjenester.

Før du begynner

Sørg for at du har fullført konfigureringen av HDS-klyngen for flere leietakere med det nødvendige antallet noder.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Rediger innstillinger.

4

Klikk på Aktiver HDS på kortet HDS-status .

Legg til leietakerorganisasjoner i Partner Hub

I denne oppgaven tilordner du kundeorganisasjoner til din hybride datasikkerhetsklynge.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

Finn hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

4

Klikk på klyngen du vil at en kunde skal tilordnes til.

5

Gå til fanen Tilordnede kunder .

6

Klikk på Legg til kunder.

7

Velg kunden du vil legge til, fra rullegardinmenyen.

8

Klikk på Legg til, kunden blir lagt til i klyngen.

9

Gjenta trinn 6 til 8 for å legge til flere kunder i klyngen.

10

Klikk på Ferdig nederst på skjermen når du har lagt til kundene.

Hva du skal gjøre nå

Kjør HDS-installasjonsverktøyet som beskrevet i Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-installasjonsverktøyet for å fullføre installasjonsprosessen.

Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-installasjonsverktøyet

Før du begynner

Tilordne kunder til riktig klynge som beskrevet i Legg til leietakerorganisasjoner i Partner Hub. Kjør HDS-installasjonsverktøyet for å fullføre installasjonsprosessen for de nylig tillagte kundeorganisasjonene.

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, for eksempel disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i godkjenningspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du distribusjonen av PostgreSQL eller SQL Server for TLS.

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

docker login -u hdscustomersro
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

Klikk på Ja på siden ISO-import.

10

Velg ISO-filen i nettleseren og last den opp.

Sørg for tilkobling til databasen din for å utføre CMK-administrasjon.
11

Gå til fanen Leietakers CMK-administrasjon , der du finner følgende tre måter å administrere leietakers CMK-er på.

  • Opprett CMK for alle organisasjoner eller Opprett CMK – Klikk på denne knappen på banneret øverst på skjermen for å opprette CMK for alle organisasjoner som nylig er lagt til.
  • Klikk på knappen Administrer CMK-er til høyre på skjermen, og klikk på Opprett CMK-er for å opprette CMK-er for alle nylig tillagte organisasjoner.
  • Klikk på … nær CMK-administrasjonen som venter på status for en bestemt organisasjon i tabellen, og klikk på Opprett CMK for å opprette CMK for den organisasjonen.
12

Når CMK opprettes, endres statusen i tabellen fra CMK-administrasjon venter til CMK-administrert.

13

Hvis opprettelsen av CMK mislykkes, vises en feilmelding.

Fjern leietakerorganisasjoner

Før du begynner

Når de er fjernet, vil ikke brukere av kundeorganisasjoner kunne utnytte HDS for sine krypteringsbehov og vil miste alle eksisterende områder. Før du fjerner kundeorganisasjoner, må du kontakte din Cisco-partner eller kontoadministrator.

1

Logg på https://admin.webex.com.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

Finn hybriddatasikkerhet under Skytjenester, og klikk på Vis alle.

4

I fanen Ressurser klikker du på klyngen du vil fjerne kundeorganisasjoner fra.

5

Klikk på Tilordnede kunder på siden som åpnes.

6

Fra listen over kundeorganisasjoner som vises, klikker du på til høyre for kundeorganisasjonen du vil fjerne, og klikker på Fjern fra klynge.

Hva du skal gjøre nå

Fullfør fjerningsprosessen ved å tilbakekalle kundeorganisasjonens CMK-er, som beskrevet i Tilbakekall CMK-er for leiere som er fjernet fra HDS.

Tilbakekall CMK-er for leiere som er fjernet fra HDS.

Før du begynner

Fjern kunder fra den aktuelle klyngen som beskrevet i Fjern leietakerorganisasjoner. Kjør HDS-installasjonsverktøyet for å fullføre fjerningsprosessen for kundeorganisasjonene som ble fjernet.

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, for eksempel disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i godkjenningspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du distribusjonen av PostgreSQL eller SQL Server for TLS.

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

docker login -u hdscustomersro
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og angi administratorbrukernavnet for Partner Hub når du blir bedt om det.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for kontoen. Verktøyet viser deretter standard påloggingsmelding.

7

Når du blir bedt om det, skriver du inn påloggingslegitimasjonen for Partner Hub-administrator, og klikker deretter på Logg på for å gi tilgang til de nødvendige tjenestene for hybriddatasikkerhet.

8

Klikk på Kom i gang på oversiktssiden for oppsettsverktøyet.

9

Klikk på Ja på siden ISO-import.

10

Velg ISO-filen i nettleseren og last den opp.

11

Gå til fanen Leietakers CMK-administrasjon , der du finner følgende tre måter å administrere leietakers CMK-er på.

  • Tilbakekall CMK for alle organisasjoner eller Tilbakekall CMK – Klikk på denne knappen på banneret øverst på skjermen for å tilbakekalle CMK for alle organisasjoner som ble fjernet.
  • Klikk på knappen Administrer CMK-er til høyre på skjermen, og klikk på Tilbakekall CMK-er for å tilbakekalle CMK-er for alle organisasjoner som ble fjernet.
  • Klikk på i nærheten av CMK for å bli tilbakekalt status for en bestemt organisasjon i tabellen, og klikk på Tilbakekall CMK for å tilbakekalle CMK for den bestemte organisasjonen.
12

Når CMK-opphevelse er fullført, vises ikke kundeorganisasjonen lenger i tabellen.

13

Hvis CMK-tilbakekalling mislykkes, vises en feil.

Test distribusjonen av hybrid datasikkerhet

Test distribusjonen av hybrid datasikkerhet

Bruk denne fremgangsmåten til å teste scenarier for kryptering av hybriddatasikkerhet for flere leietakere.

Før du begynner

  • Konfigurer distribusjonen av hybriddatasikkerhet for flere leietakere.

  • Sørg for at du har tilgang til syslog for å bekrefte at viktige forespørsler sendes til din distribusjon av hybriddatasikkerhet for flere leietakere.

1

Nøkler for et gitt område angis av skaperen av området. Logg på Webex-appen som en av brukerne av kundeorganisasjonen, og opprett deretter et område.

Hvis du deaktiverer distribusjonen av hybriddatasikkerhet, er ikke innhold i områder som brukere oppretter, lenger tilgjengelig når de klientbufrede kopiene av krypteringsnøklene er erstattet.

2

Send meldinger til det nye området.

3

Kontroller syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til distribusjonen av hybriddatasikkerhet.

  1. Hvis du vil se etter en bruker først å opprette en sikker kanal til KMS, filtrerer du på kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du bør finne en oppføring som følgende (identifikatorer forkortet for lesbarhet):
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. Hvis du vil se etter en bruker som ber om en eksisterende nøkkel fra KMS, filtrerer du på kms.data.method=retrieve og kms.data.type=KEY:

    Du bør finne en oppføring som:
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. Hvis du vil se etter en bruker som ber om å opprette en ny KMS-nøkkel, filtrerer du på kms.data.method=create og kms.data.type=KEY_COLLECTION:

    Du bør finne en oppføring som:
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. Hvis du vil se etter en bruker som ber om opprettelse av et nytt KMS-ressursobjekt (KRO) når et område eller en annen beskyttet ressurs opprettes, filtrerer du på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

    Du bør finne en oppføring som: 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Overvåk sikkerhets helse for hybriddata

En statusindikator i Partner Hub viser deg om alt er bra med distribusjonen av hybriddatasikkerhet for flere leietakere. For mer proaktive varsler, registrer deg for e-postvarsler. Du blir varslet når det er alarmer eller programvareoppgraderinger som påvirker tjenesten.
1

I Partner Hub velger du Tjenester fra menyen til venstre på skjermen.

2

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Rediger innstillinger.

Siden Innstillinger for hybriddatasikkerhet vises.
3

Skriv inn én eller flere e-postadresser atskilt med komma i delen E-postvarsler, og trykk på Enter.

Administrer HDS-distribusjonen din

Administrer HDS-distribusjon

Bruk oppgavene som er beskrevet her for å administrere distribusjonen av hybriddatasikkerhet.

Angi tidsplan for klyngeoppgradering

Programvareoppgraderinger for hybrid datasikkerhet utføres automatisk på klyngenivå, noe som sikrer at alle noder alltid kjører samme programvareversjon. Oppgraderinger utføres i henhold til oppgraderingsplanen for klyngen. Når en programvareoppgradering blir tilgjengelig, har du muligheten til å oppgradere klyngen manuelt før det planlagte oppgraderingstidspunktet. Du kan angi en bestemt oppgraderingsplan eller bruke standardplanen kl. 3:00 AM Daily USA: Amerika/Los Angeles. Du kan også velge å utsette en kommende oppgradering, om nødvendig.

Slik angir du oppgraderingsplanen:

1

Logg på Partner Hub.

2

Velg Tjenester fra menyen til venstre på skjermen.

3

I delen Skytjenester finner du hybriddatasikkerhet og klikker på Konfigurer

4

Velg klyngen på siden Hybrid Data Security Resources.

5

Klikk på fanen Klyngeinnstillinger .

6

Velg klokkeslett og tidssone for oppgraderingsplanen på siden Klyngeinnstillinger under Oppgraderingsplan.

Merk: Under tidssonen vises neste tilgjengelige oppgraderingsdato og -klokkeslett. Du kan utsette oppgraderingen til neste dag ved å klikke på Utsett med 24 timer.

Endre nodekonfigurasjonen

Av og til må du kanskje endre konfigurasjonen av den hybride datasikkerhetsnoden av en grunn som:

  • Endring av x.509-sertifikater på grunn av utløp eller andre årsaker.

    Vi støtter ikke endring av CN-domenenavnet for et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.

  • Oppdaterer databaseinnstillinger for å endre til en kopi av PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi støtter ikke overføring av data fra PostgreSQL til Microsoft SQL Server, eller motsatt måte. Start en ny distribusjon av hybriddatasikkerhet for å bytte databasemiljøet.

  • Opprette en ny konfigurasjon for å klargjøre et nytt datasenter.

Av sikkerhetshensyn bruker Hybrid Data Security også passord for tjenestekontoer som har en levetid på ni måneder. Når HDS-installasjonsverktøyet har generert disse passordene, distribuerer du dem til hver av HDS-nodene i ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløpsdato, mottar du et varsel fra Webex-teamet om å tilbakestille passordet for maskinkontoen din. (E-posten inneholder teksten "Bruk maskinkontoens API til å oppdatere passordet.") Hvis passordene dine ikke er utløpt ennå, gir verktøyet deg to alternativer:

  • Myk tilbakestilling– De gamle og de nye passordene fungerer begge i opptil 10 dager. Bruk denne perioden til å erstatte ISO-filen på nodene gradvis.

  • Hard tilbakestilling – De gamle passordene slutter å fungere umiddelbart.

Hvis passordene utløper uten tilbakestilling, påvirker det HDS-tjenesten din, noe som krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.

Bruk denne fremgangsmåten til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen.

Før du begynner

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. Kjør Docker på maskinen for å få tilgang til den. Installasjonsprosessen krever legitimasjon for en Partner Hub-konto med fullstendige partneradministratorrettigheter.

    Hvis du ikke har en Docker Desktop-lisens, kan du bruke Podman Desktop til å kjøre HDS-installasjonsverktøyet for trinn 1.a til 1.e i prosedyren nedenfor. Se Kjør HDS-installasjonsverktøy ved hjelp av Podman Desktop for detaljer.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i 1.e. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Du trenger en kopi av den gjeldende ISO-konfigurasjonsfilen for å generere en ny konfigurasjon. ISO inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i godkjenningspolicyen.

1

Kjør HDS-installasjonsverktøyet ved hjelp av Docker på en lokal maskin.

  1. På maskinens kommandolinje angir du riktig kommando for miljøet:

    I vanlige miljøer:

    docker rmi ciscocitg/hds-setup:stable

    I FedRAMP-miljøer:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

  2. Skriv inn følgende for å logge på Docker-bilderegisteret:

    docker login -u hdscustomersro

  3. Skriv inn denne hashen når du blir bedt om passord:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Last ned det nyeste stabile bildet for miljøet ditt:

    I vanlige miljøer:

    docker pull ciscocitg/hds-setup:stable

    I FedRAMP-miljøer:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Sørg for at du bruker det nyeste installasjonsverktøyet for denne prosedyren. Versjoner av verktøyet som er opprettet før 22. februar 2018, har ikke skjermbildene for tilbakestilling av passord.

  5. Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

    • I vanlige miljøer uten proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • I vanlige miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I vanlige miljøer med HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljøer uten proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Når containeren kjører, ser du "Express server lytter på port 8080."

  6. Bruk en nettleser til å koble til localhost, http://127.0.0.1:8080.

    Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

  7. Når du blir bedt om det, skriver du inn påloggingslegitimasjonen til Partner Hub-kunden og klikker deretter på Godta for å fortsette.

  8. Importer gjeldende ISO-konfigurasjonsfil.

  9. Følg instruksjonene for å fullføre verktøyet og laste ned den oppdaterte filen.

    Hvis du vil slå av installasjonsverktøyet, skriver du inn CTRL+C.

  10. Opprett en sikkerhetskopi av den oppdaterte filen i et annet datasenter.

2

Hvis du bare kjører én HDS-node, oppretter du en ny hybrid datasikkerhetsnode VM og registrerer den ved hjelp av den nye ISO-konfigurasjonsfilen. Hvis du vil ha mer detaljerte instruksjoner, kan du se Opprette og registrere flere noder.

  1. Installer HDS-verten OVA.

  2. Sett opp HDS VM.

  3. Monter den oppdaterte konfigurasjonsfilen.

  4. Registrer den nye noden i Partner Hub.

3

Montere ISO-filen for eksisterende HDS-noder som kjører den eldre konfigurasjonsfilen. Utfør følgende prosedyre på hver node igjen, og oppdater hver node før du slår av neste node:

  1. Slå av den virtuelle maskinen.

  2. Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

  3. Klikk på CD/DVD Drive 1, velg alternativet for å montere fra en ISO-fil, og bla til plasseringen der du lastet ned den nye ISO-konfigurasjonsfilen.

  4. Merk av for Koble til ved strøm på.

  5. Lagre endringene og strøm på den virtuelle maskinen.

4

Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen.

Slå av blokkert ekstern DNS-oppløsningsmodus

Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modus for blokkert ekstern DNS-oppløsning.

Hvis nodene dine kan løse offentlige DNS-navn gjennom interne DNS-servere, kan du slå av denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.

Før du begynner

Sørg for at dine interne DNS-servere kan løse offentlige DNS-navn, og at nodene dine kan kommunisere med dem.
1

Åpne nodegrensesnittet for hybriddatasikkerhet i en nettleser (IP-adresse/oppsett, for eksempel https://192.0.2.0/setup), angi administratorlegitimasjonen du har konfigurert for noden, og klikk deretter på Logg på.

2

Gå til Oversikt (standardsiden).

Når den er aktivert, settes Blokkert ekstern DNS-oppløsning til Ja.

3

Gå til siden Klareringslager og proxy .

4

Klikk på Kontroller proxy-tilkobling.

Hvis du ser en melding om at den eksterne DNS-oppløsningen ikke var vellykket, kunne ikke noden nå DNS-serveren og vil forbli i denne modusen. Hvis ikke, etter at du har startet noden på nytt og gått tilbake til Oversikt -siden, skal Blokkert ekstern DNS-oppløsning settes til Nei.

Hva du skal gjøre nå

Gjenta proxy-tilkoblingstesten på hver node i klyngen for hybriddatasikkerhet.

Fjerne en node

Bruk denne fremgangsmåten for å fjerne en hybrid datasikkerhetsnode fra Webex-skyen. Når du har fjernet noden fra klyngen, sletter du den virtuelle maskinen for å hindre ytterligere tilgang til sikkerhetsdataene dine.
1

Bruk VMware vSphere-klienten på datamaskinen til å logge på den virtuelle ESXi-verten og slå av den virtuelle maskinen.

2

Fjern noden:

  1. Logg på Partner Hub, og velg deretter Tjenester.

  2. Klikk på Vis alle på kortet for hybriddatasikkerhet for å vise siden for hybriddatasikkerhetsressurser.

  3. Velg klyngen din for å vise oversiktspanelet.

  4. Klikk på noden du vil fjerne.

  5. Klikk på Avregistrer denne noden i panelet som vises til høyre

  6. Du kan også avregistrere noden ved å klikke … til høyre for noden og velge Fjern denne noden.

3

Slett VM-en i vSphere-klienten. (Høyreklikk på VM i venstre navigasjonsrute, og klikk på Slett.)

Hvis du ikke sletter VM-en, må du huske å avmontere ISO-konfigurasjonsfilen. Uten ISO-filen kan du ikke bruke VM til å få tilgang til sikkerhetsdataene dine.

Katastrofegjenoppretting ved hjelp av standbydatasenter

Den mest kritiske tjenesten som din hybride datasikkerhetsklynge tilbyr, er oppretting og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet hybriddatasikkerhet, rutes nye forespørsler om nøkkeloppretting til klyngen. Klyngen er også ansvarlig for å returnere nøklene den er opprettet til brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.

Fordi klyngen utfører den kritiske funksjonen med å levere disse nøklene, er det viktig at klyngen forblir i drift og at riktige sikkerhetskopier opprettholdes. Tap av hybriddatasikkerhetsdatabasen eller konfigurasjons-ISO som brukes for skjemaet, vil føre til UGJENOPPRETTELIG TAP av kundeinnhold. Følgende fremgangsmåter er obligatoriske for å forhindre et slikt tap:

Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenteret blir utilgjengelig, følger du denne fremgangsmåten for å manuelt failover til standbydatasenteret.

Før du begynner

Avregistrer alle noder fra Partner Hub som nevnt i Fjern en node. Bruk den nyeste ISO-filen som ble konfigurert mot nodene i klyngen som tidligere var aktiv, til å utføre failover-prosedyren som er nevnt nedenfor.
1

Start HDS-installasjonsverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-verter.

2

Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne.

3

Ta en sikkerhetskopi av ISO-filen på ditt lokale system. Behold sikkerhetskopien sikker. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til bare de hybriddatasikkerhetsadministratorene som skal foreta konfigurasjonsendringer.

4

Høyreklikk på VM i venstre navigasjonsrute til VMware vSphere-klienten, og klikk på Rediger innstillinger.

5

Klikk på Rediger innstillinger >CD/DVD-stasjon 1 og velg ISO-fil for datalager.

Kontroller at Tilkoblet og Koble til ved påslått er merket av slik at oppdaterte konfigurasjonsendringer kan tre i kraft etter at nodene er startet.

6

Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 15 minutter.

7

Registrer noden i Partner Hub. Se Registrer den første noden i klyngen.

8

Gjenta prosessen for hver node i standbydatasenteret.

Hva du skal gjøre nå

Hvis det primære datasenteret blir aktivt igjen etter failover, avregistrerer du nodene i standby-datasenteret og gjentar prosessen med å konfigurere ISO og registrere noder i det primære datasenteret som nevnt ovenfor.

(Valgfritt) Fjern ISO etter HDS-konfigurasjon

Standard HDS-konfigurasjon kjøres med ISO-montert. Men noen kunder foretrekker ikke å forlate ISO-filer kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-nodene har tatt opp den nye konfigurasjonen.

Du bruker fortsatt ISO-filene til å foreta konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO gjennom installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en igjen med denne fremgangsmåten.

Før du begynner

Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.

1

Slå av en av HDS-nodene dine.

2

Velg HDS-noden i vCenter Server Appliance.

3

Velg Rediger innstillinger > CD/DVD-stasjon og fjern merket for ISO-fil for datalager.

4

Slå på HDS-noden og sørg for at det ikke er noen alarmer i minst 20 minutter.

5

Gjenta for hver HDS-node i sin tur.

Feilsøke hybrid datasikkerhet

Vis varsler og feilsøking

En distribusjon av hybriddatasikkerhet anses som utilgjengelig hvis alle nodene i klyngen ikke er tilgjengelige, eller klyngen fungerer så sakte at forespørslene blir tidsavbrutt. Hvis brukere ikke kan nå din hybride datasikkerhetsklynge, opplever de følgende symptomer:

  • Nye områder kan ikke opprettes (kan ikke opprette nye nøkler)

  • Meldinger og områdetitler kan ikke dekrypteres for:

    • Nye brukere lagt til i et område (kan ikke hente nøkler)

    • Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)

  • Eksisterende brukere i et område vil fortsette å kjøre vellykket så lenge klientene deres har en hurtigbuffer med krypteringsnøklene

Det er viktig at du overvåker den hybride datasikkerhetsklyngen riktig og adresserer eventuelle varsler umiddelbart for å unngå tjenesteavbrudd.

Varsler

Hvis det er et problem med oppsettet av hybriddatasikkerhet, viser Partner Hub varsler til organisasjonens administrator og sender e-post til den konfigurerte e-postadressen. Varslene dekker mange vanlige scenarier.

Tabell 1. Vanlige problemer og fremgangsmåten for å løse dem

Varsel

Handling

Feil ved tilgang til lokal database.

Se etter databasefeil eller lokale nettverksproblemer.

Feil ved lokal databasetilkobling.

Kontroller at databaseserveren er tilgjengelig, og at riktig tjenestekontolegitimasjon ble brukt i nodekonfigurasjonen.

Feil ved tilgang til skytjeneste.

Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling.

Fornye registrering av skytjeneste.

Registrering til skytjenester ble avbrutt. Fornyelse av registrering pågår.

Registrering av skytjeneste avbrutt.

Registrering til skytjenester avsluttet. Tjenesten er stengt.

Tjenesten er ikke aktivert ennå.

Aktiver HDS i Partner Hub.

Konfigurert domene samsvarer ikke med serversertifikatet.

Kontroller at serversertifikatet samsvarer med det konfigurerte tjenesteaktiveringsdomenet.

Den mest sannsynlige årsaken er at sertifikatets CN nylig ble endret og nå er forskjellig fra CN som ble brukt under den første installasjonen.

Kunne ikke autentisere seg til skytjenester.

Sjekk for nøyaktighet og mulig utløp av legitimasjon for tjenestekontoen.

Kunne ikke åpne lokal nøkkelbutikkfil.

Kontroller integritet og passordnøyaktighet på den lokale nøkkelbutikkfilen.

Det lokale serversertifikatet er ugyldig.

Kontroller serversertifikatets utløpsdato og bekreft at det ble utstedt av en klarert sertifiseringsinstans.

Kan ikke legge ut måledata.

Kontroller lokal nettverkstilgang til eksterne skytjenester.

/media/configdrive/hds-katalog finnes ikke.

Kontroller konfigurasjonen av ISO-monteringen på virtuell vert. Kontroller at ISO-filen finnes, at den er konfigurert til å monteres ved omstart, og at den monteres.

Oppsett av leietakerorganisasjon er ikke fullført for de tilførte organisasjonene

Fullfør oppsettet ved å opprette CMK-er for nylig tillagte leietakerorganisasjoner ved hjelp av HDS-installasjonsverktøyet.

Oppsett av leietakerorganisasjon er ikke fullført for fjernede organisasjoner

Fullfør oppsettet ved å tilbakekalle CMK-er for leietakerorganisasjoner som ble fjernet ved hjelp av HDS-installasjonsverktøyet.

Feilsøke hybrid datasikkerhet

Bruk følgende generelle retningslinjer når du feilsøker problemer med hybriddatasikkerhet.
1

Se gjennom Partner Hub for eventuelle varsler og fikse eventuelle elementer du finner der. Se bildet nedenfor for referanse.

2

Se gjennom syslog-serverens utdata for aktivitet fra distribusjonen av hybriddatasikkerhet. Filtrer etter ord som "Advarsel" og "Feil" for å hjelpe til med feilsøking.

3

Kontakt Ciscos kundestøtte.

Andre merknader

Kjente problemer for hybrid datasikkerhet

  • Hvis du avslutter klyngen for hybriddatasikkerhet (ved å slette den i Partner Hub eller ved å avslutte alle noder), mister konfigurasjons-ISO-filen eller mister tilgangen til nøkkelbutikkdatabasen, kan ikke Webex-appbrukere i kundeorganisasjoner lenger bruke områder under Personer-listen sin som ble opprettet med nøkler fra KMS. Vi har for øyeblikket ingen løsning eller løsning på dette problemet, og vi oppfordrer deg til ikke å avslutte HDS-tjenestene når de håndterer aktive brukerkontoer.

  • En klient som har en eksisterende ECDH-tilkobling til en KMS opprettholder denne tilkoblingen i en tidsperiode (sannsynligvis én time).

Kjør HDS-installasjonsverktøyet ved hjelp av Podman Desktop

Podman er et gratis og åpen kildekode containeradministrasjonsverktøy som gir en måte å kjøre, administrere og opprette containere på. Podman Desktop kan lastes ned fra https://podman-desktop.io/downloads.

  • HDS-installasjonsverktøyet kjører som en Docker-beholder på en lokal maskin. For å få tilgang til den må du laste ned og kjøre Podman på den maskinen. Installasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-installasjonsverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) gjennom Docker-miljøvariablene når du tar opp Docker-beholderen i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • ISO-konfigurasjonsfilen du genererer, inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, for eksempel disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i godkjenningspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, konfigurerer du distribusjonen av PostgreSQL eller SQL Server for TLS.

Installasjonsprosessen for hybriddatasikkerhet oppretter en ISO-fil. Deretter bruker du ISO til å konfigurere verten for hybriddatasikkerhet.

1

På maskinens kommandolinje angir du riktig kommando for miljøet:

I vanlige miljøer:

podman rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

podman rmi ciscocitg/hds-setup-fedramp:stable

Dette trinnet rydder opp tidligere HDS-installasjonsverktøy bilder. Hvis det ikke finnes noen tidligere bilder, returnerer det en feil som du kan ignorere.

2

Skriv inn følgende for å logge på Docker-bilderegisteret:

podman login docker.io -u hdscustomersro
3

Skriv inn denne hashen når du blir bedt om passord:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

podman pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Når trekket er fullført, skriver du inn riktig kommando for ditt miljø:

  • I vanlige miljøer uten proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanlige miljøer med en HTTP-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med HTTPS-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTP-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med HTTPS-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du "Express server lytter på port 8080."

Hva du skal gjøre nå

Følg de gjenværende trinnene i Opprett en konfigurasjons-ISO for HDS-verter eller Endre nodekonfigurasjonen for å opprette eller endre ISO-konfigurasjonen.

Bruk OpenSSL til å generere en PKCS12-fil

Før du begynner

  • OpenSSL er et verktøy som kan brukes til å lage PKCS12-filen i riktig format for lasting i HDS Setup Tool. Det finnes andre måter å gjøre dette på, og vi støtter ikke eller fremmer en måte fremfor en annen.

  • Hvis du velger å bruke OpenSSL, tilbyr vi denne prosedyren som en veiledning for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i X.509-sertifikatkrav. Forstå disse kravene før du fortsetter.

  • Installer OpenSSL i et støttet miljø. Se https://www.openssl.org for programvare og dokumentasjon.

  • Opprett en privat nøkkel.

  • Start denne prosedyren når du mottar serversertifikatet fra Certificate Authority (CA).

1

Når du mottar serversertifikatet fra din sertifiseringsinstans, lagrer du det som hdsnode.pem.

2

Vis sertifikatet som tekst og bekreft detaljene.

openssl x509 -text -noout -in hdsnode.pem

3

Bruk et tekstredigeringsprogram til å opprette en sertifikatbuntfil kalt hdsnode-bundle.pem. Pakkefilen må inneholde serversertifikatet, eventuelle mellomliggende CA-sertifikater og rot-CA-sertifikatene i formatet nedenfor:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Opprett .p12-filen med det vennlige navnet kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Kontroller serversertifikatdetaljene.

  1. openssl pkcs12 -in hdsnode.p12

  2. Skriv inn et passord når du blir bedt om å kryptere den private nøkkelen slik at den blir oppført i utdata. Deretter kontrollerer du at privatnøkkelen og det første sertifikatet inneholder linjene friendlyName: kms-private-key.

    Eksempel:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Hva du skal gjøre nå

Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet. Du bruker hdsnode.p12 filen og passordet du har angitt for den, i Opprett en konfigurasjons-ISO for HDS-verter.

Du kan bruke disse filene på nytt for å be om et nytt sertifikat når det opprinnelige sertifikatet utløper.

Trafikk mellom HDS-nodene og skyen

Utgående metrikkinnsamlingstrafikk

Nodene for hybriddatasikkerhet sender visse målinger til Webex-skyen. Disse inkluderer systemmålinger for maks. heap, heap brukt, CPU-belastning og antall tråder, målinger på synkrone og asynkrone tråder, målinger på varsler som involverer en terskel for krypteringstilkoblinger, ventetid eller lengde på en forespørselskø, målinger på datalageret og krypteringstilkoblingsmålinger. Nodene sender kryptert nøkkelmateriale over en kanal utenfor båndet (atskilt fra forespørselen).

Innkommende trafikk

Nodene for hybriddatasikkerhet mottar følgende typer innkommende trafikk fra Webex-skyen:

  • Krypteringsforespørsler fra klienter som rutes av krypteringstjenesten

  • Oppgraderinger til nodeprogramvaren

Konfigurere Squid-proxyer for hybriddatasikkerhet

Websocket kan ikke koble til via Squid-proxy

Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av websocket (wss:)-tilkoblinger som hybriddatasikkerhet krever. Disse delene gir veiledning om hvordan du konfigurerer forskjellige versjoner av Squid til å ignorere wss: trafikk for riktig drift av tjenestene.

Squid 4 og 5

Legg til on_unsupported_protocol direktivet i squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

Vi testet hybriddatasikkerhet med følgende regler lagt til i squid.conf. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Ny og endret informasjon

Ny og endret informasjon

Denne tabellen dekker nye funksjoner eller funksjonalitet, endringer i eksisterende innhold og eventuelle større feil som ble rettet i Distribusjonsveiledningen for hybrid datasikkerhet for flere leietakere.

Dato

Endringer gjort

8. mai 2025
4. mars 2025

30. januar 2025

La til SQL Server versjon 2022 i listen over støttede SQL-servere i Krav til databaseserver.

15. januar 2025

Lagt til Begrensninger for hybrid datasikkerhet med flere leietakere.

8. januar 2025

La til et notat i Utfør første oppsett og last ned installasjonsfiler som sier at det å klikke på Konfigurer på HDS-kortet i Partner Hub er et viktig trinn i installasjonsprosessen.

7. januar 2025

Oppdaterte Krav til virtuell vert, Oppgaveflyt for distribusjon av hybrid datasikkerhetog Installer HDS-verten OVA for å vise de nye kravene til ESXi 7.0.

13. desember 2024

Først publisert.

Deaktiver hybrid datasikkerhet for flere leietakere

Oppgaveflyt for deaktivering av HDS for flere leietakere

Følg disse trinnene for å deaktivere HDS med flere leietakere fullstendig.

Før du begynner

Denne oppgaven skal kun utføres av en fullverdig partneradministrator.
1

Fjern alle kunder fra alle klyngene dine, som nevnt i Fjern leietakerorganisasjoner.

2

Tilbakekalle CMK-ene til alle kunder, som nevnt i Tilbakekalle CMK-er for leietakere fjernet fra HDS..

3

Fjern alle noder fra alle klyngene dine, som nevnt i Fjern en node.

4

Slett alle klyngene dine fra Partner Hub ved hjelp av én av følgende to metoder.

  • Klikk på klyngen du vil slette, og velg Slett denne klyngen øverst til høyre på oversiktssiden.
  • På Ressurser-siden klikker du på … på høyre side av en klynge og velger Fjern klynge.
5

Klikk på fanen Innstillinger på oversiktssiden for hybrid datasikkerhet, og klikk på Deaktiver HDS på HDS-statuskortet.

Kom i gang med hybrid datasikkerhet for flere leietakere

Oversikt over hybrid datasikkerhet for flere leietakere

Fra dag én har datasikkerhet vært hovedfokuset i utformingen av Webex-appen. Hjørnesteinen i denne sikkerheten er ende-til-ende-innholdskryptering, aktivert av Webex-appklienter som samhandler med nøkkelhåndteringstjenesten (KMS). KMS-et er ansvarlig for å opprette og administrere kryptografiske nøkler som klienter bruker til å dynamisk kryptere og dekryptere meldinger og filer.

Som standard får alle Webex-appkunder ende-til-ende-kryptering med dynamiske nøkler lagret i sky-KMS, i Ciscos sikkerhetsområde. Hybrid datasikkerhet flytter KMS-systemet og andre sikkerhetsrelaterte funksjoner til bedriftens datasenter, slik at ingen andre enn deg har nøklene til det krypterte innholdet.

Hybrid datasikkerhet for flere leietakere lar organisasjoner utnytte HDS gjennom en pålitelig lokal partner, som kan fungere som en tjenesteleverandør og administrere lokal kryptering og andre sikkerhetstjenester. Dette oppsettet gir partnerorganisasjonen full kontroll over distribusjon og administrasjon av krypteringsnøkler og sikrer at brukerdata fra kundeorganisasjoner er trygge fra ekstern tilgang. Partnerorganisasjoner setter opp HDS-instanser og oppretter HDS-klynger etter behov. Hver instans kan støtte flere kundeorganisasjoner, i motsetning til en vanlig HDS-distribusjon som er begrenset til én enkelt organisasjon.

Selv om partnerorganisasjoner har kontroll over distribusjon og administrasjon, har de ikke tilgang til data og innhold generert av kunder. Denne tilgangen er begrenset til kundeorganisasjoner og deres brukere.

Dette gjør det også mulig for mindre organisasjoner å utnytte HDS, siden nøkkelhåndteringstjenester og sikkerhetsinfrastruktur som datasentre eies av den pålitelige lokale partneren.

Hvordan hybrid datasikkerhet med flere leietakere gir datasuverenitet og datakontroll

  • Brukergenerert innhold er beskyttet mot ekstern tilgang, som fra skytjenesteleverandører.
  • Lokale betrodde partnere administrerer krypteringsnøklene til kunder de allerede har et etablert forhold til.
  • Mulighet for lokal teknisk støtte, hvis partneren tilbyr dette.
  • Støtter møter, meldinger og samtaleinnhold.

Dette dokumentet har som mål å hjelpe partnerorganisasjoner med å sette opp og administrere kunder under et hybrid datasikkerhetssystem for flere leietakere.

Begrensninger ved hybrid datasikkerhet for flere leietakere

  • Partnerorganisasjoner må ikke ha noen eksisterende HDS-distribusjon aktiv i Control Hub.
  • Leietaker- eller kundeorganisasjoner som ønsker å bli administrert av en partner, må ikke ha noen eksisterende HDS-distribusjon i Control Hub.
  • Når Multi-Tenant HDS er distribuert av partneren, begynner alle brukere av kundeorganisasjoner samt brukere av partnerorganisasjonen å bruke Multi-Tenant HDS for sine krypteringstjenester.

    Partnerorganisasjonen og kundeorganisasjonene de administrerer vil være på samme Multi-Tenant HDS-distribusjon.

    Partnerorganisasjonen vil ikke lenger bruke skybasert KMS etter at Multi-Tenant HDS er distribuert.

  • Det finnes ingen mekanisme for å flytte nøkler tilbake til Cloud KMS etter en HDS-distribusjon.
  • For øyeblikket kan hver HDS-distribusjon med flere leietakere bare ha én klynge, med flere noder under den.
  • Administratorroller har visse begrensninger. Se avsnittet nedenfor for detaljer.

Roller i hybrid datasikkerhet med flere leietakere

  • Fullstendig partneradministrator – Kan administrere innstillinger for alle kunder som partneren administrerer. Kan også tilordne administratorroller til eksisterende brukere i organisasjonen og tilordne bestemte kunder som skal administreres av partneradministratorer.
  • Partneradministrator – Kan administrere innstillinger for kunder som administratoren har klargjort eller som er tilordnet brukeren.
  • Full administrator – Administrator for partnerorganisasjonen som er autorisert til å utføre oppgaver som å endre organisasjonsinnstillinger, administrere lisenser og tildele roller.
  • Oppsett og administrasjon av komplett HDS for flere leietakere for alle kundeorganisasjoner – Full administratorrettigheter for partnere kreves.
  • Administrasjon av tildelte leietakerorganisasjoner - Partneradministrator og fulle administratorrettigheter kreves.

Sikkerhetsrikets arkitektur

Webex-skyarkitekturen skiller ulike typer tjenester inn i separate områder, eller tillitsdomener, som vist nedenfor.

Realms of Separation (uten hybrid datasikkerhet)

For å forstå hybrid datasikkerhet bedre, la oss først se på dette rene skytilfellet, der Cisco tilbyr alle funksjoner i skyverdenen sin. Identitetstjenesten, det eneste stedet hvor brukere kan bli direkte korrelert med sin personlige informasjon, som for eksempel e-postadresse, er logisk og fysisk atskilt fra sikkerhetsområdet i datasenter B. Begge er igjen atskilt fra området der kryptert innhold til slutt lagres, i datasenter C.

I dette diagrammet er klienten Webex-appen som kjører på en brukers bærbare datamaskin, og som har autentisert seg med identitetstjenesten. Når brukeren skriver en melding som skal sendes til et rom, skjer følgende trinn:

  1. Klienten oppretter en sikker forbindelse med nøkkelhåndteringstjenesten (KMS), og ber deretter om en nøkkel for å kryptere meldingen. Den sikre forbindelsen bruker ECDH, og KMS krypterer nøkkelen med en AES-256-hovednøkkel.

  2. Meldingen krypteres før den forlater klienten. Klienten sender den til indekseringstjenesten, som oppretter krypterte søkeindekser for å hjelpe til med fremtidige søk etter innholdet.

  3. Den krypterte meldingen sendes til samsvarstjenesten for samsvarskontroller.

  4. Den krypterte meldingen lagres i lagringsområdet.

Når du distribuerer hybrid datasikkerhet, flytter du sikkerhetsfunksjonene (KMS, indeksering og samsvar) til ditt lokale datasenter. De andre skytjenestene som utgjør Webex (inkludert identitets- og innholdslagring) forblir i Ciscos område.

Samarbeid med andre organisasjoner

Brukere i organisasjonen din kan regelmessig bruke Webex-appen til å samarbeide med eksterne deltakere i andre organisasjoner. Når en av brukerne dine ber om en nøkkel til et område som eies av organisasjonen din (fordi det ble opprettet av en av brukerne dine), sender KMS-systemet ditt nøkkelen til klienten via en ECDH-sikret kanal. Men når en annen organisasjon eier nøkkelen for plassen, ruter KMS-systemet ditt forespørselen ut til Webex-skyen gjennom en separat ECDH-kanal for å hente nøkkelen fra det aktuelle KMS-systemet, og returnerer deretter nøkkelen til brukeren på den opprinnelige kanalen.

KMS-tjenesten som kjører på organisasjon A validerer tilkoblingene til KMS-er i andre organisasjoner ved hjelp av x.509 PKI-sertifikater. Se Klargjør miljøet ditt for detaljer om hvordan du genererer et x.509-sertifikat som skal brukes med din Multi-Tenant Hybrid Data Security-distribusjon.

Forventninger til implementering av hybrid datasikkerhet

En implementering av hybrid datasikkerhet krever betydelig forpliktelse og en bevissthet om risikoene som følger med å eie krypteringsnøkler.

For å implementere hybrid datasikkerhet må du oppgi:

  • Et sikkert datasenter i et land som er et støttet sted for Cisco Webex Teams-abonnementene.

  • Utstyret, programvaren og nettverkstilgangen som er beskrevet i Klargjør miljøet ditt.

Fullstendig tap av enten konfigurasjons-ISO-en du bygger for Hybrid Data Security eller databasen du oppgir, vil føre til tap av nøklene. Nøkkeltap hindrer brukere i å dekryptere plassinnhold og andre krypterte data i Webex-appen. Hvis dette skjer, kan du bygge en ny distribusjon, men bare nytt innhold vil være synlig. For å unngå tap av tilgang til data, må du:

  • Administrer sikkerhetskopiering og gjenoppretting av databasen og konfigurasjons-ISO-en.

  • Vær forberedt på å utføre rask katastrofegjenoppretting hvis en katastrofe inntreffer, for eksempel feil på databasedisken eller datasenterkatastrofe.

Det finnes ingen mekanisme for å flytte nøkler tilbake til skyen etter en HDS-distribusjon.

Høynivåoppsettprosess

Dette dokumentet dekker oppsett og administrasjon av en hybrid datasikkerhetsdistribusjon med flere leietakere:

  • Konfigurer hybrid datasikkerhet– Dette inkluderer å forberede nødvendig infrastruktur og installere hybrid datasikkerhetsprogramvare, bygge en HDS-klynge, legge til leietakerorganisasjoner i klyngen og administrere kundens hovednøkler (CMK-er). Dette vil gjøre det mulig for alle brukere i kundeorganisasjonene dine å bruke hybriddatasikkerhetsklyngen din til sikkerhetsfunksjoner.

    Oppsett-, aktiverings- og administrasjonsfasene dekkes i detalj i de neste tre kapitlene.

  • Vedlikehold din hybride datasikkerhetsdistribusjon– Webex-skyen tilbyr automatisk kontinuerlige oppgraderinger. IT-avdelingen din kan tilby støtte på nivå én for denne utrullingen, og engasjere Cisco-støtte etter behov. Du kan bruke varsler på skjermen og konfigurere e-postbaserte varsler i Partner Hub.

  • Forstå vanlige varsler, feilsøkingstrinn og kjente problemer– Hvis du støter på problemer med å distribuere eller bruke Hybrid Data Security, kan det siste kapittelet i denne veiledningen og tillegget om kjente problemer hjelpe deg med å finne og løse problemet.

Hybrid distribusjonsmodell for datasikkerhet

Innenfor bedriftens datasenter distribuerer du Hybrid Data Security som en enkelt klynge av noder på separate virtuelle verter. Nodene kommuniserer med Webex-skyen via sikre websockets og sikker HTTP.

Under installasjonsprosessen gir vi deg OVA-filen for å konfigurere den virtuelle enheten på de virtuelle maskinene du stiller til rådighet. Du bruker HDS-oppsettverktøyet til å opprette en tilpasset ISO-fil for klyngekonfigurasjon som du monterer på hver node. Hybrid Data Security-klyngen bruker den oppgitte Syslogd-serveren og PostgreSQL- eller Microsoft SQL Server-databasen. (Du konfigurerer Syslogd og databasetilkoblingsdetaljene i HDS-oppsettverktøyet.)

Hybrid distribusjonsmodell for datasikkerhet

Minimum antall noder du kan ha i en klynge er to. Vi anbefaler minst tre per klynge. Å ha flere noder sikrer at tjenesten ikke avbrytes under en programvareoppgradering eller annen vedlikeholdsaktivitet på en node. (Webex-skyen oppgraderer bare én node om gangen.)

Alle noder i en klynge har tilgang til det samme nøkkeldatalageret og logger aktivitet til den samme syslog-serveren. Selve nodene er statsløse og håndterer viktige forespørsler i runde-robin-modus, som anvist av skyen.

Noder blir aktive når du registrerer dem i Partner Hub. For å ta en individuell node ut av drift, kan du avregistrere den og senere registrere den på nytt om nødvendig.

Standby-datasenter for katastrofegjenoppretting

Under utrullingen setter du opp et sikkert reservedatasenter. I tilfelle en datasenterkatastrofe kan du manuelt overføre utrullingen til reservedatasenteret.

Før failover har datasenter A aktive HDS-noder og den primære PostgreSQL- eller Microsoft SQL Server-databasen, mens B har en kopi av ISO-filen med tilleggskonfigurasjoner, virtuelle maskiner som er registrert i organisasjonen og en reservedatabase. Etter failover har datasenter B aktive HDS-noder og den primære databasen, mens A har uregistrerte virtuelle maskiner og en kopi av ISO-filen, og databasen er i standby-modus.
Manuell failover til standby-datasenter

Databasene til de aktive og standby-datasentrene er synkroniserte med hverandre, noe som vil minimere tiden det tar å utføre failover.

De aktive Hybrid Data Security-nodene må alltid være i samme datasenter som den aktive databaseserveren.

Proxy-støtte

Hybrid datasikkerhet støtter eksplisitte, transparente inspiserende og ikke-inspiserende proxyer. Du kan knytte disse proxy-tjenerne til distribusjonen din, slik at du kan sikre og overvåke trafikk fra bedriften og ut til skyen. Du kan bruke et plattformadministratorgrensesnitt på nodene for sertifikatadministrasjon og for å sjekke den generelle tilkoblingsstatusen etter at du har konfigurert proxyen på nodene.

Hybrid Data Security-nodene støtter følgende proxy-alternativer:

  • Ingen proxy– Standardinnstillingen hvis du ikke bruker HDS-nodeoppsettet Trust Store & Proxy-konfigurasjon for å integrere en proxy. Ingen sertifikatoppdatering er nødvendig.

  • Transparent ikke-inspiserende proxy– Nodene er ikke konfigurert til å bruke en spesifikk proxy-serveradresse og skal ikke kreve noen endringer for å fungere med en ikke-inspiserende proxy. Ingen sertifikatoppdatering er nødvendig.

  • Transparent tunnelering eller inspeksjon av proxy– Nodene er ikke konfigurert til å bruke en spesifikk proxy-serveradresse. Ingen endringer i HTTP- eller HTTPS-konfigurasjonen er nødvendige på nodene. Nodene trenger imidlertid et rotsertifikat slik at de stoler på proxyen. Inspeksjon av proxyer brukes vanligvis av IT for å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).

  • Eksplisitt proxy– Med eksplisitt proxy forteller du HDS-nodene hvilken proxy-server og autentiseringsskjema de skal bruke. For å konfigurere en eksplisitt proxy, må du angi følgende informasjon på hver node:

    1. Proxy IP/FQDN– Adresse som kan brukes til å nå proxy-maskinen.

    2. Proxy-port– Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

    3. Proxy-protokoll– Avhengig av hva proxy-serveren din støtter, kan du velge mellom følgende protokoller:

      • HTTP – Viser og kontrollerer alle forespørsler som klienten sender.

      • HTTPS – Gir en kanal til serveren. Klienten mottar og validerer serverens sertifikat.

    4. Autentiseringstype– Velg blant følgende autentiseringstyper:

      • Ingen– Ingen ytterligere autentisering er nødvendig.

        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

      • Grunnleggende– Brukes av en HTTP-brukeragent for å oppgi brukernavn og passord når en forespørsel sendes. Bruker Base64-koding.

        Tilgjengelig hvis du velger enten HTTP eller HTTPS som proxy-protokoll.

        Krever at du oppgir brukernavn og passord på hver node.

      • Sammendrag– Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før sending over nettverket.

        Bare tilgjengelig hvis du velger HTTPS som proxy-protokoll.

        Krever at du oppgir brukernavn og passord på hver node.

Eksempel på hybride datasikkerhetsnoder og proxy

Dette diagrammet viser et eksempel på en tilkobling mellom Hybrid Data Security, nettverket og en proxy. For proxy-alternativene for transparent inspeksjon og HTTPS-eksplisitt inspeksjon må det samme rotsertifikatet installeres på proxyen og på Hybrid Data Security-nodene.

Blokkert ekstern DNS-oppløsningsmodus (eksplisitte proxy-konfigurasjoner)

Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. I distribusjoner med eksplisitte proxy-konfigurasjoner som ikke tillater ekstern DNS-løsning for interne klienter, går noden automatisk inn i modus for blokkert ekstern DNS-løsning hvis den ikke kan spørre DNS-serverne. I denne modusen kan noderegistrering og andre proxy-tilkoblingstester fortsette.

Forbered miljøet ditt

Krav til hybrid datasikkerhet for flere leietakere

Krav til Cisco Webex-lisens

Slik distribuerer du hybrid datasikkerhet for flere leietakere:

  • Partnerorganisasjoner: Kontakt Cisco-partneren eller kontoansvarlig din, og sørg for at flerleietakerfunksjonen er aktivert.

  • Leietakerorganisasjoner: Du må ha Pro Pack for Cisco Webex Control Hub. (Se https://www.cisco.com/go/pro-pack.)

Krav til Docker-skrivebordet

Før du installerer HDS-nodene dine, trenger du Docker Desktop for å kjøre et installasjonsprogram. Docker har nylig oppdatert lisensmodellen sin. Organisasjonen din kan kreve et betalt abonnement for Docker Desktop. For mer informasjon, se Docker-blogginnlegget « Docker oppdaterer og utvider produktabonnementene våre».

Kunder uten Docker Desktop-lisens kan bruke et åpen kildekode-verktøy for containeradministrasjon som Podman Desktop til å kjøre, administrere og opprette containere. Se Kjør HDS-oppsettverktøyet med Podman Desktop for detaljer.

Krav til X.509-sertifikat

Sertifikatkjeden må oppfylle følgende krav:

Tabell 1. Krav til X.509-sertifikat for implementering av hybrid datasikkerhet

Behov

Detaljer

  • Signert av en pålitelig sertifiseringsinstans (CA)

Som standard stoler vi på CA-ene i Mozilla-listen (med unntak av WoSign og StartCom) på https://wiki.mozilla.org/CA:IncludedCAs.

  • Har et domenenavn for fellesnavn (CN) som identifiserer din hybride datasikkerhetsdistribusjon

  • Er ikke et jokertegnsertifikat

CN-en trenger ikke å være tilgjengelig eller en live vert. Vi anbefaler at du bruker et navn som gjenspeiler organisasjonen din, for eksempel hds.company.com.

KN-en må ikke inneholde en * (jokertegn).

CN-en brukes til å bekrefte hybriddatasikkerhetsnodene til Webex-appklienter. Alle hybriddatasikkerhetsnodene i klyngen din bruker det samme sertifikatet. KMS-systemet ditt identifiserer seg ved hjelp av CN-domenet, ikke et hvilket som helst domene som er definert i x.509v3 SAN-feltene.

Når du har registrert en node med dette sertifikatet, støtter vi ikke endring av CN-domenenavnet.

  • Ikke-SHA1-signatur

KMS-programvaren støtter ikke SHA1-signaturer for validering av tilkoblinger til andre organisasjoners KMS-er.

  • Formatert som en passordbeskyttet PKCS #12 fil

  • Bruk det vennlige navnet kms-private-key for å merke sertifikatet, den private nøkkelen og eventuelle mellomliggende sertifikater som skal lastes opp.

Du kan bruke en konverter som OpenSSL for å endre formatet på sertifikatet ditt.

Du må oppgi passordet når du kjører HDS-oppsettverktøyet.

KMS-programvaren håndhever ikke begrensninger for nøkkelbruk eller utvidede nøkkelbruk. Noen sertifikatmyndigheter krever at utvidede begrensninger for nøkkelbruk legges til grunn for hvert sertifikat, for eksempel serverautentisering. Det er greit å bruke serverautentisering eller andre innstillinger.

Krav til virtuelle verter

De virtuelle vertene du skal sette opp som hybride datasikkerhetsnoder i klyngen din, har følgende krav:

  • Minst to separate verter (3 anbefalt) samlokalisert i samme sikre datasenter

  • VMware ESXi 7.0 eller 8.0 installert og kjører.

    Du må oppgradere hvis du har en tidligere versjon av ESXi.

  • Minimum 4 vCPU-er, 8 GB hovedminne, 30 GB lokal harddiskplass per server

Krav til databaseserver

Opprett en ny database for nøkkellagring. Ikke bruk standarddatabasen. HDS-applikasjonene oppretter databaseskjemaet når de er installert.

Det finnes to alternativer for databaseserveren. Kravene for hver av dem er som følger:

Tabell 2. Krav til databaseserver etter databasetype

PostgreSQL

Microsoft SQL Server

  • PostgreSQL 14, 15 eller 16, installert og kjører.

  • SQL Server 2016, 2017, 2019 eller 2022 (Enterprise eller Standard) installert.

    SQL Server 2016 krever Service Pack 2 og Cumulative Update 2 eller nyere.

Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen over lengre tid uten å måtte øke lagringsplassen)

Minimum 8 vCPU-er, 16 GB hovedminne, tilstrekkelig harddiskplass og overvåking for å sikre at den ikke overskrides (2 TB anbefales hvis du vil kjøre databasen over lengre tid uten å måtte øke lagringsplassen)

HDS-programvaren installerer for øyeblikket følgende driverversjoner for kommunikasjon med databaseserveren:

PostgreSQL

Microsoft SQL Server

Postgres JDBC-driver 42.2.5

SQL Server JDBC-driver 4.6

Denne driverversjonen støtter SQL Server Always On ( Always On Failover Cluster Instances og Always On tilgjengelighetsgrupper).

Ytterligere krav for Windows-autentisering mot Microsoft SQL Server

Hvis du vil at HDS-noder skal bruke Windows-autentisering for å få tilgang til nøkkeldatabasen din på Microsoft SQL Server, trenger du følgende konfigurasjon i miljøet ditt:

  • HDS-nodene, Active Directory-infrastrukturen og MS SQL Server må alle synkroniseres med NTP.

  • Windows-kontoen du oppgir til HDS-noder må ha read/write tilgang til databasen.

  • DNS-serverne du tilbyr HDS-noder må kunne løse nøkkeldistribusjonssenteret ditt (KDC).

  • Du kan registrere HDS-databaseforekomsten på Microsoft SQL Server som et Service Principal Name (SPN) i Active Directory. Se Registrer et tjenestehovednavn for Kerberos-tilkoblinger.

    HDS-oppsettverktøyet, HDS-startprogrammet og det lokale KMS-systemet må alle bruke Windows-autentisering for å få tilgang til nøkkellagerdatabasen. De bruker detaljene fra ISO-konfigurasjonen din til å konstruere SPN-en når de ber om tilgang med Kerberos-autentisering.

Krav til eksterne tilkoblinger

Konfigurer brannmuren din til å tillate følgende tilkobling for HDS-applikasjonene:

Søknad

Protokoll

Havn

Veibeskrivelse fra appen

Destinasjon

Hybride datasikkerhetsnoder

TCP

443

Utgående HTTPS og WSS

  • Webex-servere:

    • *.wbx2.com

    • *.ciscospark.com

  • Alle Common Identity-verter

  • Andre URL-er som er oppført for hybrid datasikkerhet i tabellen Ytterligere URL-er for Webex Hybrid Services i Nettverkskrav for Webex Services

HDS-oppsettverktøy

TCP

443

Utgående HTTPS

  • *.wbx2.com

  • Alle Common Identity-verter

  • hub.docker.com

Hybrid Data Security-nodene fungerer med nettverkstilgangsoversettelse (NAT) eller bak en brannmur, så lenge NAT-en eller brannmuren tillater de nødvendige utgående tilkoblingene til domenemålene i den foregående tabellen. For tilkoblinger som går inn til Hybrid Data Security-nodene, skal ingen porter være synlige fra Internett. Innenfor datasenteret ditt trenger klienter tilgang til Hybrid Data Security-nodene på TCP-portene 443 og 22 for administrative formål.

URL-ene for CI-vertene (Common Identity) er regionspesifikke. Dette er de nåværende CI-vertene:

Region

Felles identitetsverts-URL-er

Amerika

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

Den europeiske union

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

Canada

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

Singapore

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

De forente arabiske emirater

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

Krav til proxy-server

  • Vi støtter offisielt følgende proxy-løsninger som kan integreres med dine hybride datasikkerhetsnoder.

    • Gjennomsiktig proxy – Cisco Web Security Appliance (WSA).

    • Eksplisitt proxy – blekksprut.

      Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av websocket (wss:) forbindelser. For å omgå dette problemet, se Konfigurer Squid-proxyer for hybrid datasikkerhet.

  • Vi støtter følgende autentiseringstypekombinasjoner for eksplisitte proxyer:

    • Ingen autentisering med HTTP eller HTTPS

    • Grunnleggende autentisering med HTTP eller HTTPS

    • Digest-autentisering kun med HTTPS

  • For en transparent inspiserende proxy eller en eksplisitt HTTPS-proxy må du ha en kopi av proxyens rotsertifikat. Distribusjonsinstruksjonene i denne veiledningen forteller deg hvordan du laster opp kopien til Hybrid Data Security-nodenes klareringslagre.

  • Nettverket som er vert for HDS-nodene må konfigureres til å tvinge utgående TCP-trafikk på port 443 til å rutes gjennom proxyen.

  • Proxyer som inspiserer webtrafikk kan forstyrre web socket-tilkoblinger. Hvis dette problemet oppstår, vil det å omgå (ikke inspisere) trafikk til wbx2.com og ciscospark.com løse problemet.

Fullfør forutsetningene for hybrid datasikkerhet

Bruk denne sjekklisten for å sikre at du er klar til å installere og konfigurere Hybrid Data Security-klyngen din.
1

Sørg for at partnerorganisasjonen din har Multi-Tenant HDS-funksjonen aktivert, og hent legitimasjonen til en konto med partnerrettigheter og fulle administratorrettigheter. Sørg for at Webex-kundeorganisasjonen din er aktivert for Pro Pack for Cisco Webex Control Hub. Kontakt din Cisco-partner eller kontoansvarlige for å få hjelp med denne prosessen.

Kundeorganisasjoner skal ikke ha noen eksisterende HDS-distribusjon.

2

Velg et domenenavn for HDS-distribusjonen din (for eksempel hds.company.com) og skaff deg en sertifikatkjede som inneholder et X.509-sertifikat, en privat nøkkel og eventuelle mellomliggende sertifikater. Sertifikatkjeden må oppfylle kravene i X.509-sertifikatkrav.

3

Forbered identiske virtuelle verter som du vil konfigurere som hybride datasikkerhetsnoder i klyngen din. Du trenger minst to separate verter (3 anbefales) samlokalisert i samme sikre datasenter, som oppfyller kravene i Krav til virtuelle verter.

4

Klargjør databaseserveren som skal fungere som nøkkeldatalager for klyngen, i henhold til Databaseserverkrav. Databaseserveren må være samlokalisert i det sikre datasenteret med de virtuelle vertene.

  1. Opprett en database for nøkkellagring. (Du må opprette denne databasen – ikke bruk standarddatabasen.) HDS-applikasjonene oppretter databaseskjemaet når de er installert.)

  2. Samle detaljene som nodene skal bruke for å kommunisere med databaseserveren:

    • vertsnavnet eller IP-adressen (vert) og porten

    • navnet på databasen (dbname) for nøkkellagring

    • brukernavnet og passordet til en bruker med alle rettigheter på nøkkellagringsdatabasen

5

For rask gjenoppretting etter katastrofer, sett opp et sikkerhetskopieringsmiljø i et annet datasenter. Sikkerhetskopieringsmiljøet speiler produksjonsmiljøet til virtuelle maskiner og en sikkerhetskopieringsdatabaseserver. Hvis for eksempel produksjonen har 3 virtuelle maskiner som kjører HDS-noder, bør sikkerhetskopieringsmiljøet ha 3 virtuelle maskiner.

6

Konfigurer en syslog-vert for å samle inn logger fra nodene i klyngen. Hent nettverksadressen og syslog-porten (standard er UDP 514).

7

Opprett en sikker sikkerhetskopieringspolicy for Hybrid Data Security-nodene, databaseserveren og syslog-verten. For å forhindre uopprettelig datatap må du som et minimum sikkerhetskopiere databasen og ISO-konfigurasjonsfilen som er generert for Hybrid Data Security-nodene.

Fordi hybride datasikkerhetsnoder lagrer nøklene som brukes i kryptering og dekryptering av innhold, vil manglende opprettholdelse av en operativ distribusjon føre til UOPPRETTBART TAP av innholdet.

Webex-appklienter bufrer nøklene sine, så et driftsavbrudd er kanskje ikke umiddelbart merkbart, men vil bli tydelig over tid. Selv om midlertidige avbrudd er umulige å forhindre, kan de gjenopprettes. Fullstendig tap (ingen sikkerhetskopier tilgjengelig) av enten databasen eller konfigurasjons-ISO-filen vil imidlertid føre til uopprettelige kundedata. Operatørene av Hybrid Data Security-nodene forventes å opprettholde hyppige sikkerhetskopier av databasen og ISO-konfigurasjonsfilen, og være forberedt på å gjenoppbygge Hybrid Data Security-datasenteret hvis det oppstår en katastrofal feil.

8

Sørg for at brannmurkonfigurasjonen din tillater tilkobling for hybriddatasikkerhetsnodene dine som beskrevet i Krav til ekstern tilkobling.

9

Installer Docker ( https://www.docker.com) på en hvilken som helst lokal maskin som kjører et støttet operativsystem (Microsoft Windows 10 Professional eller Enterprise 64-bit, eller Mac OSX Yosemite 10.10.3 eller nyere) med en nettleser som har tilgang til det på http://127.0.0.1:8080.

Du bruker Docker-forekomsten til å laste ned og kjøre HDS Setup Tool, som bygger den lokale konfigurasjonsinformasjonen for alle Hybrid Data Security-nodene. Du trenger kanskje en Docker Desktop-lisens. Se Krav til Docker Desktop for mer informasjon.

For å installere og kjøre HDS Setup Tool, må den lokale maskinen ha tilkoblingsmulighetene som er beskrevet i Krav til ekstern tilkobling.

10

Hvis du integrerer en proxy med Hybrid Data Security, må du sørge for at den oppfyller Krav til proxyserver.

Konfigurer en hybrid datasikkerhetsklynge

Oppgaveflyt for distribusjon av hybrid datasikkerhet

Før du begynner

1

Utfør første oppsett og last ned installasjonsfiler

Last ned OVA-filen til din lokale maskin for senere bruk.

2

Opprett en konfigurasjons-ISO for HDS-vertene

Bruk HDS-oppsettverktøyet til å opprette en ISO-konfigurasjonsfil for Hybrid Data Security-nodene.

3

Installer HDS Host OVA

Opprett en virtuell maskin fra OVA-filen og utfør den første konfigurasjonen, for eksempel nettverksinnstillinger.

Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon har blitt testet med ESXi 7.0 og 8.0. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

4

Konfigurer den hybride virtuelle datamaskinen for datasikkerhet

Logg på VM-konsollen og angi påloggingslegitimasjonen. Konfigurer nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA-distribusjonen ble utført.

5

Last opp og monter HDS-konfigurasjons-ISO-en

Konfigurer den virtuelle maskinen fra ISO-konfigurasjonsfilen du opprettet med HDS-oppsettverktøyet.

6

Konfigurer HDS-noden for proxy-integrasjon

Hvis nettverksmiljøet krever proxy-konfigurasjon, angi hvilken type proxy du vil bruke for noden, og legg til proxy-sertifikatet i klareringslageret om nødvendig.

7

Registrer den første noden i klyngen

Registrer den virtuelle maskinen med Cisco Webex-skyen som en hybrid datasikkerhetsnode.

8

Opprett og registrer flere noder

Fullfør klyngeoppsettet.

9

Aktiver HDS for flere leietakere på partnerhub.

Aktiver HDS og administrer leietakerorganisasjoner på Partner Hub.

Utfør første oppsett og last ned installasjonsfiler

I denne oppgaven laster du ned en OVA-fil til maskinen din (ikke til serverne du har satt opp som hybride datasikkerhetsnoder). Du bruker denne filen senere i installasjonsprosessen.

1

Logg på Partner Hub, og klikk deretter på Tjenester.

2

I delen Skytjenester finner du kortet Hybrid datasikkerhet, og deretter klikker du på Konfigurer.

Det er avgjørende for distribusjonsprosessen å klikke på Konfigurer i Partner Hub. Ikke fortsett med installasjonen uten å fullføre dette trinnet.

3

Klikk på Legg til en ressurs og klikk på Last ned .OVA-fil på kortet Installer og konfigurer programvare.

Eldre versjoner av programvarepakken (OVA) vil ikke være kompatible med de nyeste oppgraderingene for hybrid datasikkerhet. Dette kan føre til problemer under oppgradering av applikasjonen. Sørg for at du laster ned den nyeste versjonen av OVA-filen.

Du kan også laste ned OVA når som helst fra Hjelp -delen. Klikk på Innstillinger > Hjelp > Last ned programvare for hybrid datasikkerhet.

Nedlastingen av OVA-filen begynner automatisk. Lagre filen på en plassering på maskinen din.
4

Du kan eventuelt klikke på Se veiledning for implementering av hybrid datasikkerhet for å sjekke om det finnes en senere versjon av denne veiledningen.

Opprett en konfigurasjons-ISO for HDS-vertene

Konfigurasjonsprosessen for hybrid datasikkerhet oppretter en ISO-fil. Deretter bruker du ISO-filen til å konfigurere Hybrid Data Security-verten din.

Før du begynner
1

Skriv inn riktig kommando for miljøet ditt på maskinens kommandolinje:

I vanlige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trinnet rydder opp i tidligere bilder av HDS-oppsettverktøyet. Hvis det ikke finnes noen tidligere bilder, returnerer den en feil som du kan ignorere.

2

For å logge på Docker-avbildningsregisteret, skriv inn følgende:

docker login -u hdscustomersro
3

Ved passordledeteksten skriver du inn denne hashen:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Når hentingen er fullført, skriver du inn riktig kommando for miljøet ditt:

  • I vanlige miljøer uten proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du «Express-server lytter på port 8080».

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og skriv inn administratorbrukernavnet for Partner Hub ved ledeteksten.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for den kontoen. Verktøyet viser deretter standard påloggingsledetekst.

7

Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Partner Hub-administratoren, og klikker deretter på Logg inn for å gi tilgang til de nødvendige tjenestene for Hybrid Data Security.

8

På oversiktssiden for oppsettverktøyet klikker du på Kom i gang.

9

På siden ISO-import har du disse alternativene:

  • Nei– Hvis du oppretter din første HDS-node, har du ikke en ISO-fil å laste opp.
  • Ja– Hvis du allerede har opprettet HDS-noder, velger du ISO-filen din i søkefeltet og laster den opp.
10

Sjekk at X.509-sertifikatet ditt oppfyller kravene i Krav til X.509-sertifikat.

  • Hvis du aldri har lastet opp et sertifikat før, last opp X.509-sertifikatet, skriv inn passordet og klikk på Fortsett.
  • Hvis sertifikatet ditt er OK, klikk på Fortsett.
  • Hvis sertifikatet ditt er utløpt eller du vil erstatte det, velg Nei for Fortsette å bruke HDS-sertifikatkjede og privatnøkkel fra forrige ISO?. Last opp et nytt X.509-sertifikat, skriv inn passordet og klikk på Fortsett.
11

Skriv inn databaseadressen og kontoen som HDS bruker for å få tilgang til nøkkeldatalageret ditt:

  1. Velg din databasetype (PostgreSQL eller Microsoft SQL Server).

    Hvis du velger Microsoft SQL Server, får du opp et felt for godkjenningstype.

  2. (Kun Microsoft SQL Server ) Velg din autentiseringstype:

    • Grunnleggende autentisering: Du trenger et lokalt SQL Server-kontonavn i feltet Brukernavn.

    • Windows-autentisering: Du trenger en Windows-konto i formatet username@DOMAIN i feltet Brukernavn.

  3. Skriv inn databaseserveradressen i formatet : eller :.

    Eksempel:
    dbhost.example.org:1433 eller 198.51.100.17:1433

    Du kan bruke en IP-adresse for grunnleggende autentisering hvis nodene ikke kan bruke DNS til å løse vertsnavnet.

    Hvis du bruker Windows-autentisering, må du angi et fullstendig kvalifisert domenenavn i formatet dbhost.example.org:1433

  4. Skriv inn Databasenavn.

  5. Skriv inn brukernavn og passord til en bruker med alle rettigheter på nøkkellagringsdatabasen.

12

Velg en TLS-databasetilkoblingsmodus:

Modus

Beskrivelse

Foretrekk TLS (standardalternativ)

HDS-noder krever ikke TLS for å koble til databaseserveren. Hvis du aktiverer TLS på databaseserveren, vil nodene forsøke en kryptert tilkobling.

Krev TLS

HDS-noder kobler seg bare til hvis databaseserveren kan forhandle TLS.

Krev TLS og bekreft sertifikatsigner

Denne modusen gjelder ikke for SQL Server-databaser.

  • HDS-noder kobler seg bare til hvis databaseserveren kan forhandle TLS.

  • Etter å ha opprettet en TLS-tilkobling, sammenligner noden signataren av sertifikatet fra databaseserveren med sertifiseringsinstansen i Databaserotsertifikatet. Hvis de ikke samsvarer, avslutter noden forbindelsen.

Bruk kontrollen Databaserotsertifikat under rullegardinmenyen for å laste opp rotsertifikatet for dette alternativet.

Krev TLS og bekreft sertifikatsigner og vertsnavn

  • HDS-noder kobler seg bare til hvis databaseserveren kan forhandle TLS.

  • Etter å ha opprettet en TLS-tilkobling, sammenligner noden signataren av sertifikatet fra databaseserveren med sertifiseringsinstansen i Databaserotsertifikatet. Hvis de ikke samsvarer, avslutter noden forbindelsen.

  • Nodene bekrefter også at vertsnavnet i serversertifikatet samsvarer med vertsnavnet i feltet Databasevert og port. Navnene må samsvare nøyaktig, ellers mister noden forbindelsen.

Bruk kontrollen Databaserotsertifikat under rullegardinmenyen for å laste opp rotsertifikatet for dette alternativet.

Når du laster opp rotsertifikatet (hvis nødvendig) og klikker på Fortsett, tester HDS-oppsettverktøyet TLS-tilkoblingen til databaseserveren. Verktøyet verifiserer også sertifikatsigneren og vertsnavnet, hvis aktuelt. Hvis en test mislykkes, viser verktøyet en feilmelding som beskriver problemet. Du kan velge om du vil ignorere feilen og fortsette med oppsettet. (På grunn av tilkoblingsforskjeller kan HDS-nodene kanskje opprette TLS-tilkoblingen selv om HDS Setup Tool-maskinen ikke kan teste den.)

13

På siden Systemlogger konfigurerer du Syslogd-serveren din:

  1. Skriv inn URL-adressen til syslog-serveren.

    Hvis serveren ikke kan DNS-løses fra nodene for HDS-klyngen din, bruker du en IP-adresse i URL-en.

    Eksempel:
    udp://10.92.43.23:514 indikerer logging til Syslogd-vert 10.92.43.23 på UDP-port 514.

  2. Hvis du konfigurerer serveren din til å bruke TLS-kryptering, må du sjekke Er syslog-serveren din konfigurert for SSL-kryptering?.

    Hvis du merker av i denne boksen, må du sørge for å oppgi en TCP-URL, for eksempel tcp://10.92.43.23:514.

  3. Fra rullegardinmenyen Velg syslog-postavslutning velger du riktig innstilling for ISO-filen din: Choose eller Newline brukes for Graylog og Rsyslog TCP

    • Nullbyte -- \x00

    • Linjeskift -- \n– Velg dette alternativet for Graylog og Rsyslog TCP.

  4. Klikk på Fortsett.

14

(Valgfritt) Du kan endre standardverdien for noen databasetilkoblingsparametere i Avanserte innstillinger. Vanligvis er denne parameteren den eneste du kanskje vil endre:

app_datasource_connection_pool_maxSize: 10
15

Klikk på Fortsett på skjermbildet Tilbakestill passord for tjenestekontoer.

Passord for tjenestekontoer har en levetid på ni måneder. Bruk denne skjermen når passordene dine nærmer seg utløpsdatoen, eller du vil tilbakestille dem for å ugyldiggjøre tidligere ISO-filer.

16

Klikk på Last ned ISO-fil. Lagre filen på et sted som er lett å finne.

17

Lag en sikkerhetskopi av ISO-filen på ditt lokale system.

Oppbevar sikkerhetskopien sikkert. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til kun de administratorene for hybrid datasikkerhet som skal gjøre konfigurasjonsendringer.

18

For å avslutte installasjonsverktøyet, skriv CTRL+C.

Hva du skal gjøre nå

Sikkerhetskopier konfigurasjons-ISO-filen. Du trenger det for å opprette flere noder for gjenoppretting, eller for å gjøre konfigurasjonsendringer. Hvis du mister alle kopiene av ISO-filen, har du også mistet hovednøkkelen. Det er ikke mulig å gjenopprette nøklene fra PostgreSQL- eller Microsoft SQL Server-databasen.

Vi har aldri en kopi av denne nøkkelen, og kan ikke hjelpe deg hvis du mister den.

Installer HDS Host OVA

Bruk denne prosedyren for å opprette en virtuell maskin fra OVA-filen.
1

Bruk VMware vSphere-klienten på datamaskinen din for å logge på den virtuelle ESXi-verten.

2

Velg Fil > Distribuer OVF-mal.

3

I veiviseren angir du plasseringen til OVA-filen du lastet ned tidligere, og klikker deretter på Neste.

4

På siden Velg et navn og en mappe skriver du inn et navn på en virtuell maskin for noden (for eksempel "HDS_Node_1"), velger en plassering der distribusjonen av den virtuelle maskinnoden kan befinne seg, og klikker deretter på Neste.

5

På siden Velg en beregningsressurs velger du målberegningsressursen og klikker deretter på Neste.

En valideringskontroll kjøres. Når det er ferdig, vises maldetaljene.

6

Bekreft maldetaljene og klikk deretter på Neste.

7

Hvis du blir bedt om å velge ressurskonfigurasjon på siden Konfigurasjon, klikker du på 4 CPU og deretter på Neste.

8

På siden Velg lagring klikker du på Neste for å godta standard diskformat og lagringspolicy for virtuell maskin.

9

På siden Velg nettverk velger du nettverksalternativet fra listen over oppføringer for å gi ønsket tilkobling til den virtuelle maskinen.

10

På siden Tilpass mal konfigurerer du følgende nettverksinnstillinger:

  • Vertsnavn– Skriv inn FQDN (vertsnavn og domene) eller et enkeltords vertsnavn for noden.

    • Du trenger ikke å angi domenet slik at det samsvarer med domenet du brukte for å hente X.509-sertifikatet.

    • For å sikre en vellykket registrering i skyen, bruk bare små bokstaver i FQDN-et eller vertsnavnet du angir for noden. Store bokstaver støttes ikke for øyeblikket.

    • Den totale lengden på FQDN-en må ikke overstige 64 tegn.

  • IP-adresse– Skriv inn IP-adressen for nodens interne grensesnitt.

    Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke.

  • Maske– Skriv inn adressen til subnettmasken med punktum og desimal. For eksempel, 255.255.255.0.
  • Gateway– Skriv inn IP-adressen til gatewayen. En gateway er en nettverksnode som fungerer som et tilgangspunkt til et annet nettverk.
  • DNS-servere– Skriv inn en kommaseparert liste over DNS-servere som håndterer oversettelse av domenenavn til numeriske IP-adresser. (Opptil 4 DNS-oppføringer er tillatt.)
  • NTP-servere– Skriv inn organisasjonens NTP-server eller en annen ekstern NTP-server som kan brukes i organisasjonen din. Standard NTP-serverne fungerer kanskje ikke for alle bedrifter. Du kan også bruke en kommaseparert liste for å angi flere NTP-servere.

  • Distribuer alle nodene på samme delnett eller VLAN, slik at alle noder i en klynge kan nås fra klienter i nettverket ditt for administrative formål.

Hvis du foretrekker det, kan du hoppe over konfigurasjonen av nettverksinnstillingene og følge trinnene i Konfigurer den virtuelle hybriddatasikkerhetsmaskinen for å konfigurere innstillingene fra nodekonsollen.

Alternativet for å konfigurere nettverksinnstillinger under OVA-distribusjon har blitt testet med ESXi 7.0 og 8.0. Alternativet er kanskje ikke tilgjengelig i tidligere versjoner.

11

Høyreklikk på nodens virtuelle maskin, og velg deretter Strøm > Slå på.

Hybrid Data Security-programvaren installeres som gjest på VM-verten. Du er nå klar til å logge på konsollen og konfigurere noden.

Feilsøkingstips

Du kan oppleve en forsinkelse på noen få minutter før nodecontainerne dukker opp. En melding om en brobrannmur vises på konsollen under første oppstart, og du kan ikke logge på i løpet av denne tiden.

Konfigurer den hybride virtuelle datamaskinen for datasikkerhet

Bruk denne prosedyren for å logge på Hybrid Data Security-nodens virtuelle konsoll for første gang og angi påloggingslegitimasjonen. Du kan også bruke konsollen til å konfigurere nettverksinnstillingene for noden hvis du ikke konfigurerte dem da OVA-distribusjonen ble utført.

1

I VMware vSphere-klienten velger du den virtuelle maskinen for hybrid datasikkerhetsnoden og velger fanen Konsoll.

VM-en starter opp, og en påloggingsledetekst vises. Hvis påloggingsledeteksten ikke vises, trykk Enter.
2

Bruk følgende standardbrukernavn og passord for å logge på og endre påloggingsinformasjonen:

  1. Innlogging: admin

  2. Passord: cisco

Siden du logger på den virtuelle maskinen for første gang, må du endre administratorpassordet.

3

Hvis du allerede har konfigurert nettverksinnstillingene i Installer HDS Host OVA, hopper du over resten av denne prosedyren. Ellers velger du alternativet Rediger konfigurasjon i hovedmenyen.

4

Sett opp en statisk konfigurasjon med IP-adresse, maske, gateway og DNS-informasjon. Noden din skal ha en intern IP-adresse og et DNS-navn. DHCP støttes ikke.

5

(Valgfritt) Endre vertsnavn, domene eller NTP-server(e) om nødvendig for å samsvare med nettverkspolicyen din.

Du trenger ikke å angi domenet slik at det samsvarer med domenet du brukte for å hente X.509-sertifikatet.

6

Lagre nettverkskonfigurasjonen og start den virtuelle maskinen på nytt slik at endringene trer i kraft.

Last opp og monter HDS-konfigurasjons-ISO-en

Bruk denne prosedyren til å konfigurere den virtuelle maskinen fra ISO-filen du opprettet med HDS-oppsettverktøyet.

Før du begynner

Fordi ISO-filen inneholder hovednøkkelen, bør den bare eksponeres ved behov, for tilgang av de virtuelle hybriddatasikkerhetsmaskinene og eventuelle administratorer som måtte trenge å gjøre endringer. Sørg for at bare disse administratorene har tilgang til datalageret.

1

Last opp ISO-filen fra datamaskinen din:

  1. I VMware vSphere-klientens venstre navigasjonsrute klikker du på ESXi-serveren.

  2. Klikk på Lagringi Maskinvare-listen i Konfigurasjon-fanen.

  3. I datalagre-listen høyreklikker du på datalagret for de virtuelle maskinene og klikker på Bla gjennom datalagre.

  4. Klikk på ikonet Last opp fil, og klikk deretter på Last opp fil.

  5. Bla til plasseringen der du lastet ned ISO-filen på datamaskinen din, og klikk på Åpne.

  6. Klikk på Ja for å godta upload/download operasjonsadvarsel, og lukk datalagerdialogboksen.

2

Monter ISO-filen:

  1. I VMware vSphere-klientens venstre navigasjonsrute høyreklikker du på den virtuelle maskinen og klikker på Rediger innstillinger.

  2. Klikk på OK for å godta advarselen om begrensede redigeringsalternativer.

  3. Klikk på CD/DVD Drive 1, velg alternativet for å montere fra en ISO-fil for datalageret, og bla til plasseringen der du lastet opp ISO-filen for konfigurasjonen.

  4. Kryss av for Tilkoblet og Koble til ved påslåing.

  5. Lagre endringene dine og start den virtuelle maskinen på nytt.

Hva du skal gjøre nå

Hvis IT-policyen din krever det, kan du eventuelt avmontere ISO-filen etter at alle nodene dine har plukket opp konfigurasjonsendringene. Se (Valgfritt) Avmonter ISO etter HDS-konfigurasjon for detaljer.

Konfigurer HDS-noden for proxy-integrasjon

Hvis nettverksmiljøet krever en proxy, bruk denne prosedyren for å angi typen proxy du vil integrere med Hybrid Data Security. Hvis du velger en transparent inspeksjonsproxy eller en eksplisitt HTTPS-proxy, kan du bruke nodens grensesnitt til å laste opp og installere rotsertifikatet. Du kan også sjekke proxy-tilkoblingen fra grensesnittet og feilsøke eventuelle problemer.

Før du begynner

1

Skriv inn URL-adressen for oppsett av HDS-noden https://[HDS Node IP or FQDN]/setup i en nettleser, skriv inn administratorlegitimasjonen du har satt opp for noden, og klikk deretter på Logg på.

2

Gå til Trust Store & Proxy, og velg deretter et alternativ:

  • Ingen proxy– Standardalternativet før du integrerer en proxy. Ingen sertifikatoppdatering er nødvendig.
  • Transparent ikke-inspiserende proxy– Noder er ikke konfigurert til å bruke en spesifikk proxy-serveradresse og skal ikke kreve noen endringer for å fungere med en ikke-inspiserende proxy. Ingen sertifikatoppdatering er nødvendig.
  • Transparent inspeksjonsproxy– Noder er ikke konfigurert til å bruke en spesifikk proxy-serveradresse. Ingen endringer i HTTPS-konfigurasjonen er nødvendige på Hybrid Data Security-distribusjonen, men HDS-nodene trenger et rotsertifikat slik at de stoler på proxy-tjeneren. Inspeksjon av proxyer brukes vanligvis av IT for å håndheve retningslinjer for hvilke nettsteder som kan besøkes og hvilke typer innhold som ikke er tillatt. Denne typen proxy dekrypterer all trafikken din (til og med HTTPS).
  • Eksplisitt proxy– Med eksplisitt proxy forteller du klienten (HDS-noder) hvilken proxy-server som skal brukes, og dette alternativet støtter flere autentiseringstyper. Etter at du har valgt dette alternativet, må du oppgi følgende informasjon:

    1. Proxy IP/FQDN– Adresse som kan brukes til å nå proxy-maskinen.

    2. Proxy-port– Et portnummer som proxyen bruker til å lytte etter proxy-trafikk.

    3. Proxy-protokoll– Velg http (viser og kontrollerer alle forespørsler som mottas fra klienten) eller https (gir en kanal til serveren, og klienten mottar og validerer serverens sertifikat). Velg et alternativ basert på hva proxy-serveren din støtter.

    4. Autentiseringstype– Velg blant følgende autentiseringstyper:

      • Ingen– Ingen ytterligere autentisering er nødvendig.

        Tilgjengelig for HTTP- eller HTTPS-proxyer.

      • Grunnleggende– Brukes av en HTTP-brukeragent for å oppgi brukernavn og passord når en forespørsel sendes. Bruker Base64-koding.

        Tilgjengelig for HTTP- eller HTTPS-proxyer.

        Hvis du velger dette alternativet, må du også oppgi brukernavn og passord.

      • Sammendrag– Brukes til å bekrefte kontoen før sensitiv informasjon sendes. Bruker en hash-funksjon på brukernavnet og passordet før sending over nettverket.

        Kun tilgjengelig for HTTPS-proxyer.

        Hvis du velger dette alternativet, må du også oppgi brukernavn og passord.

Følg de neste trinnene for en transparent inspeksjonsproxy, en eksplisitt HTTP-proxy med grunnleggende autentisering eller en eksplisitt HTTPS-proxy.

3

Klikk på Last opp et rotsertifikat eller et sluttenhetssertifikat, og naviger deretter til og velg rotsertifikatet for proxyen.

Sertifikatet er lastet opp, men ikke installert ennå, fordi du må starte noden på nytt for å installere sertifikatet. Klikk på vinkelpilen ved siden av sertifikatutstederens navn for å få mer informasjon, eller klikk på Slett hvis du har gjort en feil og vil laste opp filen på nytt.

4

Klikk på Sjekk proxy-tilkobling for å teste nettverkstilkoblingen mellom noden og proxyen.

Hvis tilkoblingstesten mislykkes, vil du se en feilmelding som viser årsaken og hvordan du kan løse problemet.

Hvis du ser en melding som sier at ekstern DNS-løsning ikke var vellykket, klarte ikke noden å nå DNS-serveren. Denne betingelsen er forventet i mange eksplisitte proxy-konfigurasjoner. Du kan fortsette med oppsettet, og noden vil fungere i modus for blokkert ekstern DNS-løsning. Hvis du tror dette er en feil, fullfør disse trinnene, og se deretter Slå av blokkert ekstern DNS-oppløsningsmodus.

5

Etter at tilkoblingstesten er bestått, for eksplisitt proxy satt til kun https, slå veksleknappen på Rut alle porter 443/444 https-forespørsler fra denne noden gjennom den eksplisitte proxyen. Denne innstillingen krever 15 sekunder for å tre i kraft.

6

Klikk på Installer alle sertifikater i klareringslageret (vises for en eksplisitt HTTPS-proxy eller en transparent inspiserende proxy) eller Start på nytt (vises for en eksplisitt HTTP-proxy), les ledeteksten, og klikk deretter på Installer hvis du er klar.

Noden starter på nytt innen få minutter.

7

Etter at noden har startet på nytt, logg inn igjen om nødvendig, og åpne deretter siden Oversikt for å sjekke tilkoblingskontrollene og sørge for at de alle har grønn status.

Proxy-tilkoblingskontrollen tester bare et underdomene av webex.com. Hvis det er tilkoblingsproblemer, er et vanlig problem at noen av skydomenene som er oppført i installasjonsinstruksjonene, blokkeres av proxy-tjeneren.

Registrer den første noden i klyngen

Denne oppgaven tar den generiske noden du opprettet i Konfigurer den virtuelle maskinen for hybrid datasikkerhet, registrerer noden i Webex-skyen og gjør den om til en node for hybrid datasikkerhet.

Når du registrerer din første node, oppretter du en klynge som noden er tilordnet. En klynge inneholder én eller flere noder som er distribuert for å gi redundans.

Før du begynner

  • Når du har startet registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.

  • Sørg for at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.

1

Logg inn på https://admin.webex.com.

2

Fra menyen på venstre side av skjermen velger du Tjenester.

3

I delen Skytjenester finner du kortet Hybrid datasikkerhet og klikker på Konfigurer.

4

På siden som åpnes, klikk på Legg til en ressurs.

5

I det første feltet på kortet Legg til en node skriver du inn et navn på klyngen du vil tilordne Hybrid Data Security-noden til.

Vi anbefaler at du navngir en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: «San Francisco» eller «New York» eller «Dallas»

6

I det andre feltet skriver du inn den interne IP-adressen eller det fullstendig kvalifiserte domenenavnet (FQDN) til noden din og klikker på Legg til nederst på skjermen.

Denne IP-adressen eller FQDN-en skal samsvare med IP-adressen eller vertsnavnet og domenet du brukte i Konfigurer den hybride virtuelle datamaskinen for datasikkerhet.

Det vises en melding som angir at du kan registrere noden din i Webex.
7

Klikk på Gå til node.

Etter noen få øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Tillat tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi Webex-organisasjonen din tillatelse til å få tilgang til noden din.

8

Merk av i boksen Tillat tilgang til hybrid datasikkerhetsnode, og klikk deretter på Fortsett.

Kontoen din er validert, og meldingen «Registrering fullført» indikerer at noden din nå er registrert i Webex-skyen.
9

Klikk på lenken eller lukk fanen for å gå tilbake til Partner Hub Hybrid Data Security-siden.

På siden Hybrid datasikkerhet vises den nye klyngen som inneholder noden du registrerte, under fanen Ressurser. Noden vil automatisk laste ned den nyeste programvaren fra skyen.

Opprett og registrer flere noder

For å legge til flere noder i klyngen din, oppretter du ganske enkelt flere virtuelle maskiner og monterer den samme ISO-konfigurasjonsfilen, og registrerer deretter noden. Vi anbefaler at du har minst 3 noder.

Før du begynner

  • Når du har startet registreringen av en node, må du fullføre den innen 60 minutter, ellers må du starte på nytt.

  • Sørg for at eventuelle popup-blokkeringer i nettleseren din er deaktivert, eller at du tillater et unntak for admin.webex.com.

1

Opprett en ny virtuell maskin fra OVA-en, og gjenta trinnene i Installer HDS Host OVA.

2

Konfigurer den første konfigurasjonen på den nye virtuelle maskinen, og gjenta trinnene i Konfigurer den hybride virtuelle maskinen for datasikkerhet.

3

Gjenta trinnene i Last opp og monter HDS-konfigurasjons-ISOpå den nye virtuelle maskinen.

4

Hvis du konfigurerer en proxy for distribusjonen din, gjenta trinnene i Konfigurer HDS-noden for proxy-integrasjon etter behov for den nye noden.

5

Registrer noden.

  1. I https://admin.webex.comvelger du Tjenester fra menyen på venstre side av skjermen.

  2. I delen Skytjenester finner du kortet Hybrid datasikkerhet og klikker på Vis alle.

    Siden Hybride ressurser for datasikkerhet vises.

  3. Den nyopprettede klyngen vil vises på siden Ressurser.

  4. Klikk på klyngen for å se nodene som er tilordnet klyngen.

  5. Klikk på Legg til en node på høyre side av skjermen.

  6. Skriv inn den interne IP-adressen eller det fullstendige domenenavnet (FQDN) til noden din, og klikk på Legg til.

    En side åpnes med en melding som indikerer at du kan registrere noden din i Webex-skyen. Etter noen få øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Tillat tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi organisasjonen din tilgang til noden din.

  7. Merk av i boksen Tillat tilgang til hybrid datasikkerhetsnode, og klikk deretter på Fortsett.

    Kontoen din er validert, og meldingen «Registrering fullført» indikerer at noden din nå er registrert i Webex-skyen.

  8. Klikk på lenken eller lukk fanen for å gå tilbake til Partner Hub Hybrid Data Security-siden.

    Popup-meldingenNode lagt til vises også nederst på skjermen i Partner Hub.

    Noden din er registrert.

Administrer leietakerorganisasjoner på hybrid datasikkerhet for flere leietakere

Aktiver flerleietaker-HDS på partnerhub

Denne oppgaven sikrer at alle brukere i kundeorganisasjonene kan begynne å utnytte HDS for lokale krypteringsnøkler og andre sikkerhetstjenester.

Før du begynner

Sørg for at du har fullført oppsettet av HDS-klyngen med flere leietakere med det nødvendige antallet noder.

1

Logg inn på https://admin.webex.com.

2

Fra menyen på venstre side av skjermen velger du Tjenester.

3

I delen Skytjenester finner du Hybrid datasikkerhet og klikker på Rediger innstillinger.

4

Klikk på Aktiver HDS på kortet HDS-status.

Legg til leietakerorganisasjoner i Partner Hub

I denne oppgaven tilordner du kundeorganisasjoner til din hybride datasikkerhetsklynge.

1

Logg inn på https://admin.webex.com.

2

Fra menyen på venstre side av skjermen velger du Tjenester.

3

I delen Skytjenester finner du Hybrid datasikkerhet og klikker på Vis alle.

4

Klikk på klyngen du vil tilordne en kunde.

5

Gå til fanen Tildelte kunder.

6

Klikk på Legg til kunder.

7

Velg kunden du vil legge til fra rullegardinmenyen.

8

Klikk på Legg til, kunden vil bli lagt til i klyngen.

9

Gjenta trinn 6 til 8 for å legge til flere kunder i klyngen din.

10

Klikk på Ferdig nederst på skjermen når du har lagt til kundene.

Hva du skal gjøre nå

Kjør HDS-oppsettverktøyet som beskrevet i Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-oppsettverktøyet for å fullføre oppsettprosessen.

Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-oppsettverktøyet

Før du begynner

Tilordne kunder til riktig klynge som beskrevet i Legge til leietakerorganisasjoner i partnerhub. Kjør HDS-oppsettverktøyet for å fullføre oppsettprosessen for de nylig tillagte kundeorganisasjonene.

  • HDS-oppsettverktøyet kjører som en Docker-container på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Partner Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-oppsettverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du åpner Docker-containeren i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfigurasjons-ISO-filen du genererer inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, som disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i autorisasjonspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, må du konfigurere PostgreSQL- eller SQL Server-distribusjonen din for TLS.

Konfigurasjonsprosessen for hybrid datasikkerhet oppretter en ISO-fil. Deretter bruker du ISO-filen til å konfigurere Hybrid Data Security-verten din.

1

Skriv inn riktig kommando for miljøet ditt på maskinens kommandolinje:

I vanlige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trinnet rydder opp i tidligere bilder av HDS-oppsettverktøyet. Hvis det ikke finnes noen tidligere bilder, returnerer den en feil som du kan ignorere.

2

For å logge på Docker-avbildningsregisteret, skriv inn følgende:

docker login -u hdscustomersro
3

Ved passordledeteksten skriver du inn denne hashen:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Når hentingen er fullført, skriver du inn riktig kommando for miljøet ditt:

  • I vanlige miljøer uten proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du «Express-server lytter på port 8080».

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og skriv inn administratorbrukernavnet for Partner Hub ved ledeteksten.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for den kontoen. Verktøyet viser deretter standard påloggingsledetekst.

7

Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Partner Hub-administratoren, og klikker deretter på Logg inn for å gi tilgang til de nødvendige tjenestene for Hybrid Data Security.

8

På oversiktssiden for oppsettverktøyet klikker du på Kom i gang.

9

På siden ISO-import klikker du på Ja.

10

Velg ISO-filen din i nettleseren og last den opp.

Sørg for tilkobling til databasen din for å utføre CMK-administrasjon.
11

Gå til fanen Leietaker-CMK-administrasjon, der du finner følgende tre måter å administrere Leietaker-CMK-er på.

  • Opprett CMK for alle ORG-er eller Opprett CMK – Klikk på denne knappen i banneret øverst på skjermen for å opprette CMK-er for alle nylig tillagte organisasjoner.
  • Klikk på Administrer CMK-er -knappen på høyre side av skjermen, og klikk på Opprett CMK-er for å opprette CMK-er for alle nylig tillagte organisasjoner.
  • Klikk på … i nærheten av statusen for ventende CMK-administrasjon for en bestemt organisasjon i tabellen, og klikk på Opprett CMK for å opprette CMK for den organisasjonen.
12

Når CMK-opprettelsen er vellykket, endres statusen i tabellen fra CMK-administrasjon venter til CMK-administrert.

13

Hvis opprettelsen av CMK mislykkes, vises en feilmelding.

Fjern leietakerorganisasjoner

Før du begynner

Når den er fjernet, vil ikke brukere av kundeorganisasjoner kunne bruke HDS til sine krypteringsbehov, og de vil miste alle eksisterende plasser. Før du fjerner kundeorganisasjoner, må du kontakte Cisco-partneren eller kontoansvarlig.

1

Logg inn på https://admin.webex.com.

2

Fra menyen på venstre side av skjermen velger du Tjenester.

3

I delen Skytjenester finner du Hybrid datasikkerhet og klikker på Vis alle.

4

I fanen Ressurser klikker du på klyngen du vil fjerne kundeorganisasjoner fra.

5

På siden som åpnes, klikk på Tilordnede kunder.

6

Fra listen over kundeorganisasjoner som vises, klikk på ... på høyre side av kundeorganisasjonen du vil fjerne, og klikk på Fjern fra klynge.

Hva du skal gjøre nå

Fullfør fjerningsprosessen ved å tilbakekalle CMK-ene til kundeorganisasjonene som beskrevet i Tilbakekalle CMK-er for leietakere fjernet fra HDS.

Tilbakekall CMK-er for leietakere som er fjernet fra HDS.

Før du begynner

Fjern kunder fra den aktuelle klyngen som beskrevet i Fjern leietakerorganisasjoner. Kjør HDS-oppsettverktøyet for å fullføre fjerningsprosessen for kundeorganisasjonene som ble fjernet.

  • HDS-oppsettverktøyet kjører som en Docker-container på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Partner Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-oppsettverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du åpner Docker-containeren i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfigurasjons-ISO-filen du genererer inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, som disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i autorisasjonspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, må du konfigurere PostgreSQL- eller SQL Server-distribusjonen din for TLS.

Konfigurasjonsprosessen for hybrid datasikkerhet oppretter en ISO-fil. Deretter bruker du ISO-filen til å konfigurere Hybrid Data Security-verten din.

1

Skriv inn riktig kommando for miljøet ditt på maskinens kommandolinje:

I vanlige miljøer:

docker rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker rmi ciscocitg/hds-setup-fedramp:stable

Dette trinnet rydder opp i tidligere bilder av HDS-oppsettverktøyet. Hvis det ikke finnes noen tidligere bilder, returnerer den en feil som du kan ignorere.

2

For å logge på Docker-avbildningsregisteret, skriv inn følgende:

docker login -u hdscustomersro
3

Ved passordledeteksten skriver du inn denne hashen:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

docker pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

docker pull ciscocitg/hds-setup-fedramp:stable
5

Når hentingen er fullført, skriver du inn riktig kommando for miljøet ditt:

  • I vanlige miljøer uten proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanlige miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTP-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du «Express-server lytter på port 8080».

6

Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

Bruk en nettleser til å gå til localhost, http://127.0.0.1:8080, og skriv inn administratorbrukernavnet for Partner Hub ved ledeteksten.

Verktøyet bruker denne første oppføringen av brukernavnet til å angi riktig miljø for den kontoen. Verktøyet viser deretter standard påloggingsledetekst.

7

Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Partner Hub-administratoren, og klikker deretter på Logg inn for å gi tilgang til de nødvendige tjenestene for Hybrid Data Security.

8

På oversiktssiden for oppsettverktøyet klikker du på Kom i gang.

9

På siden ISO-import klikker du på Ja.

10

Velg ISO-filen din i nettleseren og last den opp.

11

Gå til fanen Leietaker-CMK-administrasjon, der du finner følgende tre måter å administrere Leietaker-CMK-er på.

  • Tilbakekalling av CMK for alle OR-er eller Tilbakekalling av CMK – Klikk på denne knappen i banneret øverst på skjermen for å tilbakekalle CMK-er for alle organisasjoner som ble fjernet.
  • Klikk på Administrer CMK-er -knappen på høyre side av skjermen, og klikk på Tilbakekall CMK-er for å tilbakekalle CMK-er for alle organisasjoner som ble fjernet.
  • Klikk på i nærheten av statusen CMK som skal tilbakekalles for en bestemt organisasjon i tabellen, og klikk på Tilbakekalle CMK for å tilbakekalle CMK for den bestemte organisasjonen.
12

Når CMK-tilbakekallingen er vellykket, vil ikke kundeorganisasjonen lenger vises i tabellen.

13

Hvis CMK-tilbakekalling mislykkes, vises en feilmelding.

Test hybrid datasikkerhetsdistribusjonen din

Test din hybride datasikkerhetsimplementering

Bruk denne prosedyren til å teste krypteringsscenarier for hybrid datasikkerhet med flere leietakere.

Før du begynner

  • Konfigurer din hybride datasikkerhetsdistribusjon for flere leietakere.

  • Sørg for at du har tilgang til sysloggen for å bekrefte at nøkkelforespørsler sendes til Multi-Tenant Hybrid Data Security-distribusjonen din.

1

Nøkler for et gitt område angis av den som har opprettet området. Logg på Webex-appen som en av brukerne i kundeorganisasjonen, og opprett deretter et område.

Hvis du deaktiverer distribusjonen av Hybrid Data Security, vil innhold i områder som brukere oppretter ikke lenger være tilgjengelig når de klientbufrede kopiene av krypteringsnøklene er erstattet.

2

Send meldinger til det nye rommet.

3

Sjekk syslog-utdataene for å bekrefte at nøkkelforespørslene sendes til Hybrid Data Security-distribusjonen din.

Hvis en bruker av en nylig tillagt kundeorganisasjon utfører en handling, vil organisasjonens organisasjons-ID vises i loggene, og dette kan brukes til å bekrefte at organisasjonen bruker Multi-Tenant HDS. Sjekk verdien av kms.data.orgId i sysloggene.

  1. For å sjekke om en bruker først oppretter en sikker kanal til KMS-systemet, filtrer på kms.data.method=create og kms.data.type=EPHEMERAL_KEY_COLLECTION:

    Du bør finne en oppføring som denne (identifikatorer forkortet for lesbarhet):
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  2. For å se etter en bruker som ber om en eksisterende nøkkel fra KMS-systemet, filtrer på kms.data.method=retrieve og kms.data.type=KEY:

    Du bør finne en oppføring som for eksempel:
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  3. For å se etter en bruker som ber om opprettelse av en ny KMS-nøkkel, filtrer på kms.data.method=create og kms.data.type=KEY_COLLECTION:

    Du bør finne en oppføring som for eksempel:
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  4. For å se etter en bruker som ber om opprettelse av et nytt KMS-ressursobjekt (KRO) når et område eller en annen beskyttet ressurs opprettes, filtrer på kms.data.method=create og kms.data.type=RESOURCE_COLLECTION:

    Du bør finne en oppføring som for eksempel: 
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Overvåk hybrid datasikkerhetshelse

En statusindikator i Partner Hub viser deg om alt er i orden med implementeringen av hybrid datasikkerhet for flere leietakere. For mer proaktiv varsling, registrer deg for e-postvarsler. Du vil bli varslet når det er alarmer eller programvareoppgraderinger som påvirker tjenesten.
1

I Partnerhubvelger du Tjenester fra menyen på venstre side av skjermen.

2

I delen Skytjenester finner du Hybrid datasikkerhet og klikker på Rediger innstillinger.

Siden Innstillinger for hybrid datasikkerhet vises.
3

I delen E-postvarsler skriver du inn én eller flere e-postadresser atskilt med komma, og trykker på Enter.

Administrer HDS-distribusjonen din

Administrer HDS-distribusjon

Bruk oppgavene som er beskrevet her til å administrere hybrid datasikkerhetsdistribusjonen din.

Angi en tidsplan for klyngeoppgradering

Programvareoppgraderinger for hybrid datasikkerhet gjøres automatisk på klyngenivå, noe som sikrer at alle noder alltid kjører samme programvareversjon. Oppgraderinger utføres i henhold til oppgraderingsplanen for klyngen. Når en programvareoppgradering blir tilgjengelig, har du muligheten til å oppgradere klyngen manuelt før den planlagte oppgraderingstidspunktet. Du kan angi en spesifikk oppgraderingsplan eller bruke standardplanen for 3:00 AM Daily USA: America/Los Angeles. Du kan også velge å utsette en kommende oppgradering, om nødvendig.

Slik angir du oppgraderingsplanen:

1

Logg inn på Partner Hub.

2

Fra menyen på venstre side av skjermen velger du Tjenester.

3

I delen Skytjenester finner du Hybrid datasikkerhet og klikker på Konfigurer

4

På siden Hybride datasikkerhetsressurser velger du klyngen.

5

Klikk på fanen Klyngeinnstillinger.

6

På siden Klyngeinnstillinger, under Oppgraderingsplan, velger du klokkeslett og tidssone for oppgraderingsplanen.

Merknad: Under tidssonen vises neste tilgjengelige oppgraderingsdato og -klokkeslett. Du kan utsette oppgraderingen til neste dag om nødvendig ved å klikke på Utsett med 24 timer.

Endre nodekonfigurasjonen

Av og til kan det hende du må endre konfigurasjonen av Hybrid Data Security-noden din av en årsak som:

  • Endring av x.509-sertifikater på grunn av utløp eller andre årsaker.

    Vi støtter ikke endring av CN-domenenavnet til et sertifikat. Domenet må samsvare med det opprinnelige domenet som ble brukt til å registrere klyngen.

  • Oppdaterer databaseinnstillinger for å endre til en kopi av PostgreSQL- eller Microsoft SQL Server-databasen.

    Vi støtter ikke migrering av data fra PostgreSQL til Microsoft SQL Server, eller motsatt vei. For å bytte databasemiljø, start en ny distribusjon av Hybrid Data Security.

  • Oppretter en ny konfigurasjon for å klargjøre et nytt datasenter.

Av sikkerhetshensyn bruker Hybrid Data Security også passord for tjenestekontoer som har en levetid på ni måneder. Etter at HDS-oppsettverktøyet genererer disse passordene, distribuerer du dem til hver av HDS-nodene dine i ISO-konfigurasjonsfilen. Når organisasjonens passord nærmer seg utløpsdatoen, mottar du et varsel fra Webex-teamet om å tilbakestille passordet for maskinkontoen din. (E-posten inneholder teksten «Bruk maskinkonto-API-et til å oppdatere passordet.») Hvis passordene dine ikke er utløpt ennå, gir verktøyet deg to alternativer:

  • Myk tilbakestilling– Både det gamle og det nye passordet fungerer i opptil 10 dager. Bruk denne perioden til å gradvis erstatte ISO-filen på nodene.

  • Hard tilbakestilling– De gamle passordene slutter å virke umiddelbart.

Hvis passordene dine utløper uten tilbakestilling, påvirker det HDS-tjenesten din, og krever en umiddelbar hard tilbakestilling og erstatning av ISO-filen på alle noder.

Bruk denne prosedyren til å generere en ny ISO-konfigurasjonsfil og bruke den på klyngen din.

Før du begynner

  • HDS-oppsettverktøyet kjører som en Docker-container på en lokal maskin. For å få tilgang til den, kjør Docker på den maskinen. Oppsettprosessen krever påloggingsinformasjonen til en Partner Hub-konto med fulle administratorrettigheter for partneren.

    Hvis du ikke har en Docker Desktop-lisens, kan du bruke Podman Desktop til å kjøre HDS-oppsettverktøyet for trinn 1.a til 1.e i prosedyren nedenfor. Se Kjør HDS-oppsettverktøyet med Podman Desktop for detaljer.

    Hvis HDS-oppsettverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du åpner Docker-containeren i 1.e. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Du trenger en kopi av den gjeldende ISO-filen for konfigurasjonen for å generere en ny konfigurasjon. ISO-filen inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger ISO-filen når du gjør konfigurasjonsendringer, inkludert databaselegitimasjon, sertifikatoppdateringer eller endringer i autorisasjonspolicyen.

1

Kjør HDS-oppsettverktøyet ved hjelp av Docker på en lokal maskin.

  1. Skriv inn riktig kommando for miljøet ditt på maskinens kommandolinje:

    I vanlige miljøer:

    docker rmi ciscocitg/hds-setup:stable

    I FedRAMP-miljøer:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Dette trinnet rydder opp i tidligere bilder av HDS-oppsettverktøyet. Hvis det ikke finnes noen tidligere bilder, returnerer den en feil som du kan ignorere.

  2. For å logge på Docker-avbildningsregisteret, skriv inn følgende:

    docker login -u hdscustomersro

  3. Ved passordledeteksten skriver du inn denne hashen:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Last ned det nyeste stabile bildet for miljøet ditt:

    I vanlige miljøer:

    docker pull ciscocitg/hds-setup:stable

    I FedRAMP-miljøer:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Sørg for at du henter det nyeste installasjonsverktøyet for denne prosedyren. Versjoner av verktøyet som ble opprettet før 22. februar 2018 har ikke skjermbilder for tilbakestilling av passord.

  5. Når hentingen er fullført, skriver du inn riktig kommando for miljøet ditt:

    • I vanlige miljøer uten proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • I vanlige miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I vanlige miljøer med en HTTPSproxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • I FedRAMP-miljøer uten proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med en HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • I FedRAMP-miljøer med en HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Når containeren kjører, ser du «Express-server lytter på port 8080».

  6. Bruk en nettleser for å koble til localhost, http://127.0.0.1:8080.

    Installasjonsverktøyet støtter ikke tilkobling til localhost via http://localhost:8080. Bruk http://127.0.0.1:8080 for å koble til localhost.

  7. Når du blir bedt om det, skriver du inn påloggingsinformasjonen for Partner Hub-kunden din, og klikker deretter på Godta for å fortsette.

  8. Importer den gjeldende ISO-konfigurasjonsfilen.

  9. Følg instruksjonene for å fullføre verktøyet og laste ned den oppdaterte filen.

    For å avslutte installasjonsverktøyet, skriv CTRL+C.

  10. Opprett en sikkerhetskopi av den oppdaterte filen i et annet datasenter.

2

Hvis du bare har én HDS-node som kjører, oppretter du en ny virtuell maskin for hybrid datasikkerhetsnoden og registrerer den ved hjelp av den nye ISO-konfigurasjonsfilen. For mer detaljerte instruksjoner, se Opprett og registrer flere noder.

  1. Installer HDS-verten OVA.

  2. Konfigurer HDS VM.

  3. Monter den oppdaterte konfigurasjonsfilen.

  4. Registrer den nye noden i Partner Hub.

3

For eksisterende HDS-noder som kjører den eldre konfigurasjonsfilen, monter ISO-filen. Utfør følgende prosedyre på hver node etter tur, og oppdater hver node før du slår av neste node:

  1. Slå av den virtuelle maskinen.

  2. I VMware vSphere-klientens venstre navigasjonsrute høyreklikker du på den virtuelle maskinen og klikker på Rediger innstillinger.

  3. Klikk på CD/DVD Drive 1, velg alternativet for å montere fra en ISO-fil, og bla til plasseringen der du lastet ned den nye konfigurasjons-ISO-filen.

  4. Kryss av for Koble til ved påslåing.

  5. Lagre endringene dine og start den virtuelle maskinen.

4

Gjenta trinn 3 for å erstatte konfigurasjonen på hver gjenværende node som kjører den gamle konfigurasjonen.

Slå av blokkert ekstern DNS-oppløsningsmodus

Når du registrerer en node eller sjekker nodens proxy-konfigurasjon, tester prosessen DNS-oppslag og tilkobling til Cisco Webex-skyen. Hvis nodens DNS-server ikke kan løse offentlige DNS-navn, går noden automatisk inn i modus for blokkert ekstern DNS-løsning.

Hvis nodene dine kan løse offentlige DNS-navn gjennom interne DNS-servere, kan du slå av denne modusen ved å kjøre proxy-tilkoblingstesten på nytt på hver node.

Før du begynner

Sørg for at de interne DNS-serverne dine kan løse offentlige DNS-navn, og at nodene dine kan kommunisere med dem.
1

I en nettleser åpner du Hybrid Data Security-nodegrensesnittet (IP address/setup, For eksempel, https://192.0.2.0/setup), skriv inn administratorlegitimasjonen du har satt opp for noden, og klikk deretter på Logg på.

2

Gå til Oversikt (standardsiden).

Når den er aktivert, er Blokkert ekstern DNS-oppløsning satt til Ja.

3

Gå til Trust Store & Proxy -side.

4

Klikk på Sjekk proxy-tilkobling.

Hvis du ser en melding som sier at ekstern DNS-løsning ikke var vellykket, klarte ikke noden å nå DNS-serveren og vil forbli i denne modusen. Ellers, etter at du har startet noden på nytt og går tilbake til siden Oversikt, bør Blokkert ekstern DNS-oppløsning settes til nei.

Hva du skal gjøre nå

Gjenta proxy-tilkoblingstesten på hver node i Hybrid Data Security-klyngen.

Fjern en node

Bruk denne fremgangsmåten for å fjerne en hybrid datasikkerhetsnode fra Webex-skyen. Etter at du har fjernet noden fra klyngen, sletter du den virtuelle maskinen for å forhindre ytterligere tilgang til sikkerhetsdataene dine.
1

Bruk VMware vSphere-klienten på datamaskinen din til å logge på den virtuelle ESXi-verten og slå av den virtuelle maskinen.

2

Fjern noden:

  1. Logg på Partner Hub, og velg deretter Tjenester.

  2. På kortet Hybrid datasikkerhet klikker du på Vis alle for å vise siden Hybrid datasikkerhetsressurser.

  3. Velg klyngen din for å vise Oversiktspanelet.

  4. Klikk på noden du vil fjerne.

  5. Klikk på Avregistrer denne noden i panelet som vises til høyre

  6. Du kan også avregistrere noden ved å klikke på … på høyre side av noden og velge Fjern denne noden.

3

Slett den virtuelle maskinen i vSphere-klienten. (I venstre navigasjonsrute høyreklikker du på den virtuelle maskinen og klikker på Slett.)

Hvis du ikke sletter den virtuelle maskinen, husk å avmontere konfigurasjons-ISO-filen. Uten ISO-filen kan du ikke bruke den virtuelle maskinen til å få tilgang til sikkerhetsdataene dine.

Katastrofegjenoppretting ved bruk av standby-datasenter

Den viktigste tjenesten som hybrid datasikkerhetsklyngen din tilbyr, er oppretting og lagring av nøkler som brukes til å kryptere meldinger og annet innhold som er lagret i Webex-skyen. For hver bruker i organisasjonen som er tilordnet Hybrid Data Security, rutes nye forespørsler om nøkkeloppretting til klyngen. Klyngen er også ansvarlig for å returnere nøklene den har opprettet til alle brukere som er autorisert til å hente dem, for eksempel medlemmer av et samtaleområde.

Fordi klyngen utfører den kritiske funksjonen med å levere disse nøklene, er det avgjørende at klyngen forblir i gang og at det vedlikeholdes riktige sikkerhetskopier. Tap av Hybrid Data Security-databasen eller av konfigurasjons-ISO-en som brukes for skjemaet vil føre til UKJENOPPRETTBART TAP av kundeinnhold. Følgende fremgangsmåter er obligatoriske for å forhindre et slikt tap:

Hvis en katastrofe fører til at HDS-distribusjonen i det primære datasenteret blir utilgjengelig, følger du denne prosedyren for å manuelt bytte til reservedatasenteret.

Før du begynner

Avregistrer alle noder fra Partner Hub som nevnt i Fjern en node. Bruk den nyeste ISO-filen som ble konfigurert mot nodene i klyngen som tidligere var aktiv, for å utføre failover-prosedyren som er nevnt nedenfor.
1

Start HDS-oppsettverktøyet og følg trinnene som er nevnt i Opprett en konfigurasjons-ISO for HDS-vertene.

2

Fullfør konfigurasjonsprosessen og lagre ISO-filen på et sted som er lett å finne.

3

Lag en sikkerhetskopi av ISO-filen på ditt lokale system. Oppbevar sikkerhetskopien sikkert. Denne filen inneholder en hovedkrypteringsnøkkel for databaseinnholdet. Begrens tilgangen til kun de administratorene for hybrid datasikkerhet som skal gjøre konfigurasjonsendringer.

4

I VMware vSphere-klientens venstre navigasjonsrute høyreklikker du på den virtuelle maskinen og klikker på Rediger innstillinger.

5

Klikk på Rediger innstillinger >CD/DVD Stasjon 1 og velg ISO-fil for datalager.

Sørg for at Tilkoblet og Koble til ved oppstart er avmerket, slik at oppdaterte konfigurasjonsendringer kan tre i kraft etter at nodene har startet.

6

Slå på HDS-noden og sørg for at det ikke er noen alarmer på minst 15 minutter.

7

Registrer noden i Partner Hub. Se Registrer den første noden i klyngen.

8

Gjenta prosessen for hver node i standby-datasenteret.

Hva du skal gjøre nå

Hvis det primære datasenteret blir aktivt igjen etter failover, avregistrer nodene til reservedatasenteret og gjenta prosessen med å konfigurere ISO og registrere noder til det primære datasenteret som nevnt ovenfor.

(Valgfritt) Avmonter ISO etter HDS-konfigurasjon

Standard HDS-konfigurasjonen kjører med ISO montert. Men noen kunder foretrekker å ikke la ISO-filer være kontinuerlig montert. Du kan avmontere ISO-filen etter at alle HDS-nodene har hentet den nye konfigurasjonen.

Du bruker fortsatt ISO-filene til å gjøre konfigurasjonsendringer. Når du oppretter en ny ISO eller oppdaterer en ISO via installasjonsverktøyet, må du montere den oppdaterte ISO-en på alle HDS-nodene dine. Når alle nodene dine har plukket opp konfigurasjonsendringene, kan du avmontere ISO-en igjen med denne prosedyren.

Før du begynner

Oppgrader alle HDS-nodene dine til versjon 2021.01.22.4720 eller nyere.

1

Slå av en av HDS-nodene dine.

2

I vCenter Server Appliance velger du HDS-noden.

3

Velg Rediger innstillinger > CD/DVD stasjon og fjern merket for Datastore ISO-fil.

4

Slå på HDS-noden og sørg for at det ikke er noen alarmer på minst 20 minutter.

5

Gjenta for hver HDS-node etter tur.

Feilsøking av hybrid datasikkerhet

Vis varsler og feilsøk

En hybrid datasikkerhetsdistribusjon anses som utilgjengelig hvis alle noder i klyngen ikke kan nås, eller klyngen fungerer så sakte at forespørsler blir tidsavbrutt. Hvis brukere ikke kan nå Hybrid Data Security-klyngen din, opplever de følgende symptomer:

  • Nye mellomrom kan ikke opprettes (kan ikke opprette nye nøkler)

  • Meldinger og romtitler klarer ikke å dekryptere for:

    • Nye brukere lagt til i et rom (kan ikke hente nøkler)

    • Eksisterende brukere i et område som bruker en ny klient (kan ikke hente nøkler)

  • Eksisterende brukere i et område vil fortsette å kjøre uten problemer så lenge klientene deres har en hurtigbuffer med krypteringsnøklene

Det er viktig at du overvåker Hybrid Data Security-klyngen din ordentlig og adresserer eventuelle varsler raskt for å unngå avbrudd i tjenesten.

Varsler

Hvis det er et problem med oppsettet av hybrid datasikkerhet, viser Partner Hub varsler til organisasjonsadministratoren og sender e-poster til den konfigurerte e-postadressen. Varslene dekker mange vanlige scenarier.

Tabell 1. Vanlige problemer og fremgangsmåten for å løse dem

Varsle

Handling

Tilgangsfeil for lokal database.

Sjekk for databasefeil eller problemer med det lokale nettverket.

Feil på tilkobling til lokal database.

Kontroller at databaseserveren er tilgjengelig, og at riktig tjenestekontolegitimasjon ble brukt i nodekonfigurasjonen.

Feil med tilgang til skytjenesten.

Kontroller at nodene har tilgang til Webex-serverne som angitt i Krav til ekstern tilkobling.

Fornyer registrering av skytjeneste.

Registrering til skytjenester ble droppet. Fornyelse av registreringen pågår.

Registrering av skytjeneste er fjernet.

Registrering for skytjenester er avsluttet. Tjenesten stenges ned.

Tjenesten er ikke aktivert ennå.

Aktiver HDS i Partner Hub.

Det konfigurerte domenet samsvarer ikke med serversertifikatet.

Sørg for at serversertifikatet ditt samsvarer med det konfigurerte domenet for tjenesteaktivering.

Den mest sannsynlige årsaken er at sertifikatets CN nylig ble endret og nå er forskjellig fra CN-en som ble brukt under den første oppsettet.

Kunne ikke autentisere mot skytjenester.

Sjekk nøyaktighet og mulig utløpsdato for tjenestekontolegitimasjon.

Kunne ikke åpne den lokale nøkkellagerfilen.

Sjekk integriteten og passordnøyaktigheten på den lokale nøkkellagerfilen.

Det lokale serversertifikatet er ugyldig.

Sjekk utløpsdatoen for serversertifikatet og bekreft at det ble utstedt av en pålitelig sertifiseringsinstans.

Kan ikke legge ut målinger.

Sjekk lokal nettverkstilgang til eksterne skytjenester.

/media/configdrive/hds katalogen finnes ikke.

Sjekk ISO-monteringskonfigurasjonen på den virtuelle verten. Bekreft at ISO-filen finnes, at den er konfigurert til å monteres ved omstart, og at den monteres uten problemer.

Oppsettet av leietakerorganisasjonen er ikke fullført for de tillagte organisasjonene.

Fullfør oppsettet ved å opprette CMK-er for nylig tillagte leietakerorganisasjoner ved hjelp av HDS Setup Tool.

Oppsettet av leietakerorganisasjonen er ikke fullført for de fjernede organisasjonene.

Fullfør oppsettet ved å tilbakekalle CMK-er for leietakerorganisasjoner som ble fjernet ved hjelp av HDS Setup Tool.

Feilsøking av hybrid datasikkerhet

Bruk følgende generelle retningslinjer når du feilsøker problemer med hybrid datasikkerhet.
1

Se gjennom Partner Hub for eventuelle varsler og rett eventuelle elementer du finner der. Se bildet nedenfor som referanse.

2

Se gjennom syslog-serverutdataene for aktivitet fra Hybrid Data Security-distribusjonen. Filtrer etter ord som «Advarsel» og «Feil» for å hjelpe til med feilsøking.

3

Kontakt Cisco-kundestøtte.

Andre notater

Kjente problemer for hybrid datasikkerhet

  • Hvis du slår av Hybrid Data Security-klyngen din (ved å slette den i Partner Hub eller ved å slå av alle noder), mister konfigurasjons-ISO-filen din eller mister tilgang til nøkkellagerdatabasen, kan ikke Webex-appbrukere av kundeorganisasjoner lenger bruke mellomrom under personlisten sin som ble opprettet med nøkler fra KMS-en din. Vi har for øyeblikket ingen løsning eller løsning på dette problemet, og vi oppfordrer deg til ikke å stenge ned HDS-tjenestene dine når de håndterer aktive brukerkontoer.

  • En klient som har en eksisterende ECDH-tilkobling til et KMS, opprettholder denne tilkoblingen i en periode (sannsynligvis én time).

Kjør HDS Setup-verktøyet med Podman Desktop

Podman er et gratis og åpen kildekode-verktøy for containeradministrasjon som gir en måte å kjøre, administrere og opprette containere på. Podman Desktop kan lastes ned fra https://podman-desktop.io/downloads.

  • HDS-oppsettverktøyet kjører som en Docker-container på en lokal maskin. For å få tilgang til den, last ned og kjør Podman på den maskinen. Konfigurasjonsprosessen krever legitimasjonen til en Control Hub-konto med fulle administratorrettigheter for organisasjonen din.

    Hvis HDS-oppsettverktøyet kjører bak en proxy i miljøet ditt, må du oppgi proxy-innstillingene (server, port, legitimasjon) via Docker-miljøvariabler når du åpner Docker-containeren i trinn 5. Denne tabellen viser noen mulige miljøvariabler:

    Beskrivelse

    Variabel

    HTTP-proxy uten autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy uten autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy med autentisering

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy med autentisering

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Konfigurasjons-ISO-filen du genererer inneholder hovednøkkelen som krypterer PostgreSQL- eller Microsoft SQL Server-databasen. Du trenger den nyeste kopien av denne filen hver gang du gjør konfigurasjonsendringer, som disse:

    • Databaselegitimasjon

    • Sertifikatoppdateringer

    • Endringer i autorisasjonspolicyen

  • Hvis du planlegger å kryptere databasetilkoblinger, må du konfigurere PostgreSQL- eller SQL Server-distribusjonen din for TLS.

Konfigurasjonsprosessen for hybrid datasikkerhet oppretter en ISO-fil. Deretter bruker du ISO-filen til å konfigurere Hybrid Data Security-verten din.

1

Skriv inn riktig kommando for miljøet ditt på maskinens kommandolinje:

I vanlige miljøer:

podman rmi ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

podman rmi ciscocitg/hds-setup-fedramp:stable

Dette trinnet rydder opp i tidligere bilder av HDS-oppsettverktøyet. Hvis det ikke finnes noen tidligere bilder, returnerer den en feil som du kan ignorere.

2

For å logge på Docker-avbildningsregisteret, skriv inn følgende:

podman login docker.io -u hdscustomersro
3

Ved passordledeteksten skriver du inn denne hashen:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

Last ned det nyeste stabile bildet for miljøet ditt:

I vanlige miljøer:

podman pull ciscocitg/hds-setup:stable

I FedRAMP-miljøer:

podman pull ciscocitg/hds-setup-fedramp:stable
5

Når hentingen er fullført, skriver du inn riktig kommando for miljøet ditt:

  • I vanlige miljøer uten proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • I vanlige miljøer med en HTTP-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I vanlige miljøer med en HTTPS-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • I FedRAMP-miljøer uten proxy:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTP-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • I FedRAMP-miljøer med en HTTPS-proxy:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Når containeren kjører, ser du «Express-server lytter på port 8080».

Hva du skal gjøre nå

Følg de resterende trinnene i Opprett en konfigurasjons-ISO for HDS-vertene eller Endre nodekonfigurasjonen for å opprette eller endre ISO-konfigurasjonen.

Flytt den eksisterende HDS-distribusjonen med én leietaker fra en partnerorganisasjon i Control Hub til et HDS-oppsett med flere leietakere i Partner Hub

Konverteringen fra en eksisterende HDS-distribusjon med én leier i en partnerorganisasjon administrert i Control Hub til en HDS-distribusjon med flere leiere administrert i Partner Hub innebærer hovedsakelig å deaktivere HDS-tjenesten i Control Hub, avregistrere noder og slette klyngen. Du kan deretter logge inn på Partner Hub, registrere nodene, aktivere Multi-Tenant HDS og legge til kunder i klyngen din.

Begrepet «enkeltleietaker» refererer ganske enkelt til en eksisterende HDS-distribusjon i Control Hub.

Deaktiver HDS, avregistrer noder og slett klynge i Control Hub

1

Logg inn på Kontrollsenteret. Klikk på Hybridi venstre rute. Klikk på Rediger innstillingerpå Hybrid Data Security-kortet.

2

På innstillingssiden blar du ned til Deaktiver-delen og klikker på Deaktiver.

3

Etter deaktivering, klikk på fanen Ressurser.

4

Siden Ressurser viser en liste over klynger i HDS-distribusjonen din. Klikk på en klynge, så åpnes en side med alle noder under den klyngen.

5

Klikk på ... til høyre og klikk på Avregistrer node. Gjenta prosessen for alle noder i klyngen.

6

Hvis distribusjonen din har flere klynger, gjenta trinn 4 og trinn 5 til alle noder er avregistrert.

7

Klikk på Klyngeinnstillinger > Fjern.

8

Klikk på Bekreft fjerning for å avregistrere klyngen.

9

Gjenta prosessen for alle klynger i HDS-distribusjonen din.

Etter deaktivering av HDS, avregistrering av noder og fjerning av klynger, vil Hybrid Data Service-kortet på Control Hub ha Oppsettet ikke fullført vist nederst.

Aktiver Multi-Tenant HDS for partnerorganisasjonen på Partner Hub og legg til kunder

Før du begynner

Alle forutsetningene nevnt i Krav til hybrid datasikkerhet for flere leietakere gjelder her. I tillegg må du sørge for at samme database og sertifikater brukes under overføringen til Multi-Tenant HDS.

1

Logg inn på partnerhub. Klikk på Tjenester i venstre rute.

Bruk den samme ISO-en fra den forrige HDS-distribusjonen din til å konfigurere nodene. Dette vil sikre at meldinger og innhold generert av brukerne i den forrige eksisterende HDS-distribusjonen fortsatt er tilgjengelig i det nye oppsettet for flere leietakere.

2

I delen Skytjenester finner du kortet Hybrid datasikkerhet og klikker på Konfigurer.

3

På siden som åpnes, klikk på Legg til en ressurs.

4

I det første feltet på kortet Legg til en node skriver du inn et navn på klyngen du vil tilordne Hybrid Data Security-noden til.

Vi anbefaler at du navngir en klynge basert på hvor nodene i klyngen befinner seg geografisk. Eksempler: «San Francisco» eller «New York» eller «Dallas»

5

I det andre feltet skriver du inn den interne IP-adressen eller det fullstendig kvalifiserte domenenavnet (FQDN) til noden din og klikker på Legg til nederst på skjermen.

Denne IP-adressen eller FQDN-en skal samsvare med IP-adressen eller vertsnavnet og domenet du brukte i Konfigurer den hybride virtuelle datamaskinen for datasikkerhet.

Det vises en melding som angir at du kan registrere noden din i Webex.
6

Klikk på Gå til node.

Etter noen få øyeblikk blir du omdirigert til nodetilkoblingstestene for Webex-tjenester. Hvis alle testene er vellykkede, vises siden Tillat tilgang til hybrid datasikkerhetsnode. Der bekrefter du at du vil gi Webex-organisasjonen din tillatelse til å få tilgang til noden din.

7

Merk av i boksen Tillat tilgang til hybrid datasikkerhetsnode, og klikk deretter på Fortsett.

Kontoen din er validert, og meldingen «Registrering fullført» indikerer at noden din nå er registrert i Webex Cloud. På siden Hybrid datasikkerhet vises den nye klyngen som inneholder noden du registrerte, under fanen Ressurser. Noden vil automatisk laste ned den nyeste programvaren fra skyen.
8

Gå til fanen Innstillinger og klikk på Aktiver på HDS-statuskortet.

Meldingen om aktivert HDS vises nederst på skjermen.
9

I Ressurserklikker du på den nyopprettede klyngen.

10

På siden som åpnes, klikk på fanen Tildelte kunder.

11

Klikk på Legg til kunder.

12

Velg kunden du vil legge til fra rullegardinmenyen.

13

Klikk på Legg til, kunden vil bli lagt til i klyngen.

14

Gjenta trinn 11 til 13 for å legge til flere kunder i klyngen din.

15

Klikk på Ferdig nederst på skjermen når du har lagt til kundene.

Hva du skal gjøre nå

Kjør HDS-oppsettverktøyet som beskrevet i Opprett kundens hovednøkler (CMK-er) ved hjelp av HDS-oppsettverktøyet for å fullføre oppsettprosessen.

Bruk OpenSSL til å generere en PKCS12-fil

Før du begynner

  • OpenSSL er et verktøy som kan brukes til å lage PKCS12-filen i riktig format for lasting i HDS Setup Tool. Det finnes andre måter å gjøre dette på, og vi støtter eller fremmer ikke én måte fremfor en annen.

  • Hvis du velger å bruke OpenSSL, tilbyr vi denne prosedyren som en veiledning for å hjelpe deg med å opprette en fil som oppfyller X.509-sertifikatkravene i X.509-sertifikatkrav. Forstå disse kravene før du fortsetter.

  • Installer OpenSSL i et støttet miljø. Se https://www.openssl.org for programvare og dokumentasjon.

  • Opprett en privat nøkkel.

  • Start denne prosedyren når du mottar serversertifikatet fra sertifiseringsinstansen din (CA).

1

Når du mottar serversertifikatet fra CA-en din, lagrer du det som hdsnode.pem.

2

Vis sertifikatet som tekst, og bekreft detaljene.

openssl x509 -text -noout -in hdsnode.pem

3

Bruk en teksteditor til å opprette en sertifikatpakkefil kalt hdsnode-bundle.pem. Bundle-filen må inneholde serversertifikatet, eventuelle mellomliggende CA-sertifikater og rot-CA-sertifikatene, i formatet nedenfor:

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

Opprett .p12-filen med det egendefinerte navnet kms-private-key.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

Sjekk detaljene for serversertifikatet.

  1. openssl pkcs12 -in hdsnode.p12

  2. Skriv inn et passord ved ledeteksten for å kryptere den private nøkkelen, slik at den vises i utdataene. Deretter bekrefter du at den private nøkkelen og det første sertifikatet inkluderer linjene friendlyName: kms-private-key.

    Eksempel:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

Hva du skal gjøre nå

Gå tilbake til Fullfør forutsetningene for hybrid datasikkerhet. Du bruker hdsnode.p12 -filen og passordet du har angitt for den i Opprett en konfigurasjons-ISO for HDS-vertene.

Du kan bruke disse filene på nytt for å be om et nytt sertifikat når det opprinnelige sertifikatet utløper.

Trafikk mellom HDS-nodene og skyen

Utgående målinger Innsamling av trafikk

Hybrid datasikkerhetsnodene sender visse målinger til Webex-skyen. Disse inkluderer systemmålinger for heap maks, heap brukt, CPU-belastning og trådantall; målinger på synkrone og asynkrone tråder; målinger på varsler som involverer en terskel for krypteringstilkoblinger, latens eller en forespørselskølengde; målinger på datalageret; og målinger for krypteringstilkoblinger. Nodene sender kryptert nøkkelmateriale over en out-of-band (separat fra forespørselen) kanal.

Innkommende trafikk

Hybride datasikkerhetsnoder mottar følgende typer innkommende trafikk fra Webex-skyen:

  • Krypteringsforespørsler fra klienter, som rutes av krypteringstjenesten

  • Oppgraderinger til nodeprogramvaren

Konfigurer Squid-proxyer for hybrid datasikkerhet

Websocket kan ikke koble til via Squid-proxyen

Squid-proxyer som inspiserer HTTPS-trafikk kan forstyrre etableringen av websocket (wss:)-tilkoblinger som Hybrid Data Security krever. Disse avsnittene gir veiledning om hvordan du konfigurerer ulike versjoner av Squid til å ignorere wss: -trafikk for at tjenestene skal fungere som de skal.

Blekksprut 4 og 5

Legg til on_unsupported_protocol -direktivet i squid.conf:

on_unsupported_protocol tunnel all

Blekksprut 3.5.27

Vi testet hybrid datasikkerhet med følgende regler lagt til i squid.conf. Disse reglene kan endres etter hvert som vi utvikler funksjoner og oppdaterer Webex-skyen.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Var denne artikkelen nyttig?
Var denne artikkelen nyttig?
PriserWebex-appMøterCallingMeldingerSkjermdeling
Webex SuiteCallingMøterMeldingerSlidoNettseminarerEventsKontaktsenterCPaaSSikkerhetControl Hub
HodesettKameraerSkrivebord-serienRomserieTavleserieTelefonserieTilbehør
UtdanningHelsetjenesterRegjeringFinansSport og underholdningFrontlineIdeelle organisasjonerOppstartsbedrifterHybridarbeid
NedlastingerBli med på et testmøteNettbaserte timerIntegreringerTilgjengelighetInkluderingDirektesendte og nedlastbare webinarerWebex-fellesskapetWebex-utviklereNyheter og innovasjoner
CiscoKontakt supportKontakt salgsteametWebex BlogWebex-tankelederskapWebex-varebutikkKarrierer
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
Vilkår og betingelserPersonvernerklæringInformasjonskapslerVaremerker
©2025 Cisco og/eller tilknyttede selskaper. Med enerett.
Vilkår og betingelserPersonvernerklæringInformasjonskapslerVaremerker