- Strona główna
- /
- Artykuł
Przewodnik wdrażania hybrydowego zabezpieczenia danych Webex
Nowe i zmienione informacje
Data | Zmiany | ||
---|---|---|---|
20 października 2023 r. |
| ||
07 sierpnia 2023 r. |
| ||
23 maja 2023 r. |
| ||
06 grudnia 2022 r. |
| ||
23 listopada 2022 r. |
| ||
13 października 2021 r. | Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker. | ||
24 czerwca 2021 r. | Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12. | ||
30 kwietnia 2021 r. | Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego. | ||
24 lutego 2021 r. | Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS. | ||
2 lutego 2021 r. | HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS. | ||
11 stycznia 2021 r. | Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS. | ||
13 października 2020 r. | Zaktualizowano Pobierz pliki instalacyjne. | ||
8 października 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP. | ||
14 sierpnia 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania. | ||
5 sierpnia 2020 r. | Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów. | ||
16 czerwca 2020 r. | Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub. | ||
4 czerwca 2020 r. | Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić. | ||
29 maja 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami. | ||
5 maja 2020 r. | Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5. | ||
21 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas. | ||
1 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI. | ||
20 lutego 2020 r. | Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS. | ||
4 lutego 2020 r. | Zaktualizowano wymagania serwera proxy. | ||
16 grudnia 2019 r. | Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy. | ||
19 listopada 2019 r. | Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach: | ||
8 listopada 2019 r. | Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje:
| ||
6 września 2019 r. | Dodano SQL Server Standard do wymagań serwera bazy danych. | ||
29 sierpnia 2019 r. | Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi. | ||
20 sierpnia 2019 r. | Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex. Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh . | ||
13 czerwca 2019 r. | Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu. | ||
6 marca 2019 r. |
| ||
28 lutego 2019 r. |
| ||
26 lutego 2019 r. |
| ||
24 stycznia 2019 r. |
| ||
5 listopada 2018 r. |
| ||
19 października 2018 r. |
| ||
31 lipca 2018 r. |
| ||
21 maja 2018 r. | Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:
| ||
11 kwietnia 2018 r. |
| ||
22 lutego 2018 r. |
| ||
Luty 15, 2018 |
| ||
Styczeń 18, 2018 |
| ||
2 listopada 2017 r. |
| ||
18 sierpnia 2017 r. | Pierwsza publikacja |
Przegląd zabezpieczeń danych hybrydowych
Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.
Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.
Architektura domeny zabezpieczeń
Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.
Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.
Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:
Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.
Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.
Współpraca z innymi organizacjami
Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.
Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).
Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.
Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:
Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.
Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:
Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.
Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS. |
Proces konfiguracji na wysokim poziomie
Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:
Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.
Hybrydowy model wdrażania zabezpieczeń danych
W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.
Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).
Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).
Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.
Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.
Obsługujemy tylko jeden klaster na organizację.
Tryb próbny zabezpieczeń danych hybrydowych
Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.
Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.
Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.
Standby Data Center for Disaster Recovery
Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.
Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.
Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych. |
Konfiguracja Standby Data Center do odzyskiwania awarii
Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:
Przed rozpoczęciem
Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.
| ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
Po skonfigurowaniu passiveMode
w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode
konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode
skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).
Wsparcie proxy
Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:
Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
Brak — dalsze uwierzytelnianie nie jest wymagane.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy
Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.
Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Wymagania dotyczące hybrydowego bezpieczeństwa danych
Wymagania licencyjne Cisco Webex
Aby wdrożyć hybrydowe zabezpieczenia danych:
Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).
Docker Wymagania pulpitowe
Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.
Wymagania dotyczące certyfikatu X.509
Łańcuch certyfikatów musi spełniać następujące wymagania:
Wymaganie | Szczegóły |
---|---|
| Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych. |
| Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji. |
| Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło. |
Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.
Wymagania dotyczące wirtualnego prowadzącego
Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:
Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.
Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer
Wymagania serwera bazy danych
Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych. |
Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) | Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC kierowca 42.2.5 | SQL Server JDBC sterownik 4.6 Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups). |
Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server
Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:
Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.
Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.
Wymagania dotyczące połączeń zewnętrznych
Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:
Aplikacja | Protokół | Port | Polecenie z aplikacji | Miejsce docelowe |
---|---|---|---|---|
Węzły hybrydowego zabezpieczenia danych | TCP | 443 | Zewnętrzne HTTPS i WSS |
|
Narzędzie do konfigurowania HDS | TCP | 443 | Zewnętrzny protokół HTTPS |
|
Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych. |
Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:
Region | Wspólne adresy URL prowadzącego tożsamości |
---|---|
Ameryka |
|
Unia Europejska |
|
Kanada |
|
Wymagania serwera proxy
Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.
Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).
Wyraźny serwer proxy — Squid.
Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.
Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do
wbx2.com
orazciscospark.com
rozwiąże problem.
Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
1 | Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta. | ||
2 | Wybierz nazwę domeny dla wdrożenia HDS (na przykład | ||
3 | Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta. | ||
4 | Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami. | ||
5 | W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. | ||
6 | Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514). | ||
7 | Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.
Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii. | ||
8 | Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności. | ||
9 | Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera. Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności. | ||
10 | Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy. | ||
11 | Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie
|
Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Przed rozpoczęciem
1 |
Pobierz plik OVA do lokalnego komputera, aby później go użyć. | ||
2 | Tworzenie ISO konfiguracji dla prowadzących HDS Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych. | ||
3 |
Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.
| ||
4 | Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA. | ||
5 | Prześlij i zamontuj ISO konfiguracji HDS Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS. | ||
6 | Konfigurowanie węzła HDS dla integracji serwera proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania. | ||
7 | Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych. | ||
8 | Tworzenie i rejestrowanie większej liczby węzłów Zakończ konfigurację klastra. | ||
9 | Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział) Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
Pobierz pliki instalacyjne
1 | Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi. | ||||
2 | W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj. Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.
| ||||
3 | Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej. Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
| ||||
4 | Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika. |
Tworzenie ISO konfiguracji dla prowadzących HDS
Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
Poświadczenia bazy danych
Aktualizacje certyfikatów
Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.
1 | W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach:
W środowiskach FedRAMP:
| ||||||||||||
2 | Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:
| ||||||||||||
3 | Po wyświetleniu monitu o hasło wprowadź ten skrót:
| ||||||||||||
4 | Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach:
W środowiskach FedRAMP:
| ||||||||||||
5 | Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:
Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. | ||||||||||||
6 |
Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie. | ||||||||||||
7 | Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security. | ||||||||||||
8 | Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij. | ||||||||||||
9 | Na stronie ISO Import dostępne są następujące opcje:
| ||||||||||||
10 | Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.
| ||||||||||||
11 | Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych: | ||||||||||||
12 | Wybierz tryb połączenia z bazą danych TLS:
Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować). | ||||||||||||
13 | Na stronie Dzienniki systemu skonfiguruj serwer Syslogd: | ||||||||||||
14 | (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:
| ||||||||||||
15 | Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi . Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO. | ||||||||||||
16 | Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć. | ||||||||||||
17 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||||||||||||
18 | Aby zamknąć narzędzie Setup, wpisz: |
Co zrobić dalej
Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.
Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz. |
Instalowanie OVA hosta HDS
1 | Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze. | ||||||
2 | Wybierz Plik > Wdrożenie szablonu OVF. | ||||||
3 | W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny. | ||||||
4 | Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny. | ||||||
5 | Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny. Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu. | ||||||
6 | Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej. | ||||||
7 | Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny. | ||||||
8 | Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM. | ||||||
9 | Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną. | ||||||
10 | Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:
Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.
| ||||||
11 | Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz .Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować. |
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych
Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.
1 | W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
|
2 | Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora. |
3 | Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację. |
4 | Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany. |
5 | (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509. |
6 | Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie. |
Prześlij i zamontuj ISO konfiguracji HDS
Przed rozpoczęciem
Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.
1 | Prześlij plik ISO z komputera: |
2 | Montaż pliku ISO: |
Co zrobić dalej
Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.
Konfigurowanie węzła HDS dla integracji serwera proxy
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.
Przed rozpoczęciem
Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
1 | Wprowadź adres URL konfiguracji węzła HDS |
2 | Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:
Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS. |
3 | Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik. |
4 | Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS. |
5 | Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania. |
6 | Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut. |
7 | Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Zarejestruj pierwszy węzeł w klastrze
Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Zaloguj się w https://admin.webex.com. |
2 | W menu po lewej stronie ekranu wybierz opcję Usługi. |
3 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
|
4 | Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej. |
5 | W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas" |
6 | W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
|
7 | Kliknij przycisk Przejdź do węzła. |
8 | Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
|
9 | Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
|
10 | Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.
|
Tworzenie i rejestrowanie większej liczby węzłów
W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center. |
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS. |
2 | Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych. |
3 | W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS. |
4 | Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła. |
5 | Zarejestruj węzeł. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
|
Co zrobić dalej
Przepływ próby do zadania produkcyjnego
Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.
Przed rozpoczęciem
1 | Jeśli dotyczy, zsynchronizuj Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać |
2 |
Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
3 | Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych. |
4 | Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów. |
5 | |
6 | Zakończ fazę próbną, wykonując jedną z następujących czynności: |
Aktywuj wersję próbną
Przed rozpoczęciem
Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup
obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
1 | Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
|
4 | Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych
Przed rozpoczęciem
Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
1 | Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.
| ||
2 | Wysyłaj wiadomości do nowego obszaru. | ||
3 | Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych. |
Monitorowanie stanu hybrydowego bezpieczeństwa danych
1 | W Control Hub wybierz Usługi z menu po lewej stronie ekranu. |
2 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
|
3 | W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter. |
Dodawanie lub usuwanie użytkowników z wersji próbnej
Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.
Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup
; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej. |
4 | Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz . |
Przeniesienie z wersji próbnej do produkcji
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij opcję Przenieś do produkcji. |
4 | Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji. |
Zakończ wersję próbną bez przejścia do produkcji
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Dezaktywuj kliknij przycisk Dezaktywuj. |
4 | Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny. |
Zarządzanie wdrożeniem HDS
Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.
Ustaw harmonogram uaktualniania klastra
Aby ustawić harmonogram uaktualniania:
1 | Zaloguj się do Centrum sterowania . |
2 | Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security. |
3 | Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster. |
4 | W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra. |
5 | Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż. |
Zmień konfigurację węzła
Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.
Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.
Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.
Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.
Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:
Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset — Stare hasła natychmiast przestają działać.
Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.
Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.
1 | Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS. |
2 | Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów. |
3 | W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: |
4 | Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja. |
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.
Przed rozpoczęciem
1 | W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się. |
2 | Przejdź do Przegląd (strona domyślna). Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak . |
3 | Przejdź do strony Trust Store & Proxy. |
4 | Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr. |
Co zrobić dalej
Usuń węzeł
1 | Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną. |
2 | Usuń węzeł: |
3 | W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń). Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa. |
Odzyskiwanie po awarii za pomocą Standby Data Center
Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.
Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:
Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts. | ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS
Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.
Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.
Przed rozpoczęciem
Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.
1 | Zamknij jeden z węzłów HDS. |
2 | W urządzeniu VCenter Server Appliance wybierz węzeł HDS. |
3 | Wybierz pliku Datastore ISO. i usuń zaznaczenie |
4 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut. |
5 | Powtórz kolejno dla każdego węzła HDS. |
Wyświetlanie alertów i rozwiązywania problemów
Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:
Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania
Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.
Alerty
Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.
Alert | Czynność |
---|---|
Niepowodzenie dostępu do lokalnej bazy danych. |
Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną. |
Niepowodzenie połączenia z lokalną bazą danych. |
Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi. |
Niepowodzenie dostępu do usługi w chmurze. |
Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności. |
Odnowienie rejestracji usług w chmurze. |
Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji. |
Rejestracja usług w chmurze została odrzucona. |
Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona. |
Usługa jeszcze nie została aktywowana. |
Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji. |
Skonfigurowana domena nie odpowiada certyfikatowi serwera. |
Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji. |
Nie można uwierzytelnić usług w chmurze. |
Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi. |
Nie można otworzyć lokalnego pliku keystore. |
Sprawdź integralność i dokładność hasła w lokalnym pliku keystore. |
Certyfikat lokalnego serwera jest nieprawidłowy. |
Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji. |
Nie można publikować metryk. |
Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze. |
/media/configdrive/hds katalog nie istnieje. |
Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany. |
Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
1 | Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy. |
2 | Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych. |
3 | Skontaktuj się z pomocą techniczną Cisco. |
Znane problemy dotyczące hybrydowych zabezpieczeń danych
Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.
To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).
Użyj protokołu OpenSSL, aby wygenerować plik PKCS12
Przed rozpoczęciem
OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.
1 | Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako |
2 | Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.
|
3 | Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie
|
4 | Utwórz plik .p12 o przyjaznej nazwie
|
5 | Sprawdź szczegóły certyfikatu serwera. |
Co zrobić dalej
Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12
plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.
Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu. |
Ruch między węzłami HDS a chmurą
Ruch zbierania metryk wychodzących
Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).
Ruch przychodzący
Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:
Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła
Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych
Websocket Nie Można Połączyć Za Pomocą Proxy Squid
Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:
) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss:
ruch w celu prawidłowego funkcjonowania usług.
Squid 4 i 5
Dodaj on_unsupported_protocol
dyrektywa do squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf
. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nowe i zmienione informacje
Data | Zmiany | ||
---|---|---|---|
20 października 2023 r. |
| ||
07 sierpnia 2023 r. |
| ||
23 maja 2023 r. |
| ||
06 grudnia 2022 r. |
| ||
23 listopada 2022 r. |
| ||
13 października 2021 r. | Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker. | ||
24 czerwca 2021 r. | Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12. | ||
30 kwietnia 2021 r. | Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego. | ||
24 lutego 2021 r. | Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS. | ||
2 lutego 2021 r. | HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS. | ||
11 stycznia 2021 r. | Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS. | ||
13 października 2020 r. | Zaktualizowano Pobierz pliki instalacyjne. | ||
8 października 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP. | ||
14 sierpnia 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania. | ||
5 sierpnia 2020 r. | Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów. | ||
16 czerwca 2020 r. | Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub. | ||
4 czerwca 2020 r. | Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić. | ||
29 maja 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami. | ||
5 maja 2020 r. | Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5. | ||
21 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas. | ||
1 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI. | ||
20 lutego 2020 r. | Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS. | ||
4 lutego 2020 r. | Zaktualizowano wymagania serwera proxy. | ||
16 grudnia 2019 r. | Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy. | ||
19 listopada 2019 r. | Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach: | ||
8 listopada 2019 r. | Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje:
| ||
6 września 2019 r. | Dodano SQL Server Standard do wymagań serwera bazy danych. | ||
29 sierpnia 2019 r. | Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi. | ||
20 sierpnia 2019 r. | Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex. Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh . | ||
13 czerwca 2019 r. | Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu. | ||
6 marca 2019 r. |
| ||
28 lutego 2019 r. |
| ||
26 lutego 2019 r. |
| ||
24 stycznia 2019 r. |
| ||
5 listopada 2018 r. |
| ||
19 października 2018 r. |
| ||
31 lipca 2018 r. |
| ||
21 maja 2018 r. | Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:
| ||
11 kwietnia 2018 r. |
| ||
22 lutego 2018 r. |
| ||
Luty 15, 2018 |
| ||
Styczeń 18, 2018 |
| ||
2 listopada 2017 r. |
| ||
18 sierpnia 2017 r. | Pierwsza publikacja |
Przegląd zabezpieczeń danych hybrydowych
Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.
Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.
Architektura domeny zabezpieczeń
Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.
Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.
Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:
Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.
Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.
Współpraca z innymi organizacjami
Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.
Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).
Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.
Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:
Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.
Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:
Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.
Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS. |
Proces konfiguracji na wysokim poziomie
Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:
Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.
Hybrydowy model wdrażania zabezpieczeń danych
W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.
Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).
Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).
Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.
Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.
Obsługujemy tylko jeden klaster na organizację.
Tryb próbny zabezpieczeń danych hybrydowych
Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.
Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.
Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.
Standby Data Center for Disaster Recovery
Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.
Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.
Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych. |
Konfiguracja Standby Data Center do odzyskiwania awarii
Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:
Przed rozpoczęciem
Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.
| ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
Po skonfigurowaniu passiveMode
w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode
konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode
skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).
Wsparcie proxy
Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:
Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
Brak — dalsze uwierzytelnianie nie jest wymagane.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy
Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.
Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Wymagania dotyczące hybrydowego bezpieczeństwa danych
Wymagania licencyjne Cisco Webex
Aby wdrożyć hybrydowe zabezpieczenia danych:
Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).
Docker Wymagania pulpitowe
Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.
Wymagania dotyczące certyfikatu X.509
Łańcuch certyfikatów musi spełniać następujące wymagania:
Wymaganie | Szczegóły |
---|---|
| Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych. |
| Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji. |
| Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło. |
Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.
Wymagania dotyczące wirtualnego prowadzącego
Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:
Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.
Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer
Wymagania serwera bazy danych
Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych. |
Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) | Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC kierowca 42.2.5 | SQL Server JDBC sterownik 4.6 Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups). |
Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server
Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:
Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.
Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.
Wymagania dotyczące połączeń zewnętrznych
Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:
Aplikacja | Protokół | Port | Polecenie z aplikacji | Miejsce docelowe |
---|---|---|---|---|
Węzły hybrydowego zabezpieczenia danych | TCP | 443 | Zewnętrzne HTTPS i WSS |
|
Narzędzie do konfigurowania HDS | TCP | 443 | Zewnętrzny protokół HTTPS |
|
Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych. |
Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:
Region | Wspólne adresy URL prowadzącego tożsamości |
---|---|
Ameryka |
|
Unia Europejska |
|
Kanada |
|
Wymagania serwera proxy
Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.
Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).
Wyraźny serwer proxy — Squid.
Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.
Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do
wbx2.com
iciscospark.com
rozwiąże problem.
Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
1 | Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta. | ||
2 | Wybierz nazwę domeny dla wdrożenia HDS (na przykład | ||
3 | Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta. | ||
4 | Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami. | ||
5 | W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. | ||
6 | Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514). | ||
7 | Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.
Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii. | ||
8 | Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności. | ||
9 | Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera. Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności. | ||
10 | Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy. | ||
11 | Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie
|
Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Przed rozpoczęciem
1 |
Pobierz plik OVA do lokalnego komputera, aby później go użyć. | ||
2 | Tworzenie ISO konfiguracji dla prowadzących HDS Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych. | ||
3 |
Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.
| ||
4 | Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA. | ||
5 | Prześlij i zamontuj ISO konfiguracji HDS Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS. | ||
6 | Konfigurowanie węzła HDS dla integracji serwera proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania. | ||
7 | Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych. | ||
8 | Tworzenie i rejestrowanie większej liczby węzłów Zakończ konfigurację klastra. | ||
9 | Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział) Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
Pobierz pliki instalacyjne
1 | Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi. | ||||
2 | W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj. Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.
| ||||
3 | Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej. Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
| ||||
4 | Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika. |
Tworzenie ISO konfiguracji dla prowadzących HDS
Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
Poświadczenia bazy danych
Aktualizacje certyfikatów
Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.
1 | W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach:
W środowiskach FedRAMP:
| ||||||||||||
2 | Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:
| ||||||||||||
3 | Po wyświetleniu monitu o hasło wprowadź ten skrót:
| ||||||||||||
4 | Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach:
W środowiskach FedRAMP:
| ||||||||||||
5 | Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:
Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. | ||||||||||||
6 |
Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie. | ||||||||||||
7 | Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security. | ||||||||||||
8 | Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij. | ||||||||||||
9 | Na stronie ISO Import dostępne są następujące opcje:
| ||||||||||||
10 | Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.
| ||||||||||||
11 | Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych: | ||||||||||||
12 | Wybierz tryb połączenia z bazą danych TLS:
Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować). | ||||||||||||
13 | Na stronie Dzienniki systemu skonfiguruj serwer Syslogd: | ||||||||||||
14 | (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:
| ||||||||||||
15 | Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi . Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO. | ||||||||||||
16 | Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć. | ||||||||||||
17 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||||||||||||
18 | Aby zamknąć narzędzie Setup, wpisz: |
Co zrobić dalej
Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.
Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz. |
Instalowanie OVA hosta HDS
1 | Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze. | ||||||
2 | Wybierz Plik > Wdrożenie szablonu OVF. | ||||||
3 | W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny. | ||||||
4 | Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny. | ||||||
5 | Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny. Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu. | ||||||
6 | Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej. | ||||||
7 | Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny. | ||||||
8 | Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM. | ||||||
9 | Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną. | ||||||
10 | Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:
Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.
| ||||||
11 | Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz .Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować. |
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych
Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.
1 | W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
|
2 | Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora. |
3 | Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację. |
4 | Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany. |
5 | (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509. |
6 | Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie. |
Prześlij i zamontuj ISO konfiguracji HDS
Przed rozpoczęciem
Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.
1 | Prześlij plik ISO z komputera: |
2 | Montaż pliku ISO: |
Co zrobić dalej
Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.
Konfigurowanie węzła HDS dla integracji serwera proxy
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.
Przed rozpoczęciem
Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
1 | Wprowadź adres URL konfiguracji węzła HDS |
2 | Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:
Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS. |
3 | Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik. |
4 | Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS. |
5 | Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania. |
6 | Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut. |
7 | Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Zarejestruj pierwszy węzeł w klastrze
Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Zaloguj się w https://admin.webex.com. |
2 | W menu po lewej stronie ekranu wybierz opcję Usługi. |
3 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
|
4 | Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej. |
5 | W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas" |
6 | W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
|
7 | Kliknij przycisk Przejdź do węzła. |
8 | Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
|
9 | Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
|
10 | Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.
|
Tworzenie i rejestrowanie większej liczby węzłów
W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center. |
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS. |
2 | Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych. |
3 | W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS. |
4 | Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła. |
5 | Zarejestruj węzeł. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
|
Co zrobić dalej
Przepływ próby do zadania produkcyjnego
Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.
Przed rozpoczęciem
1 | Jeśli dotyczy, zsynchronizuj Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać |
2 |
Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
3 | Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych. |
4 | Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów. |
5 | |
6 | Zakończ fazę próbną, wykonując jedną z następujących czynności: |
Aktywuj wersję próbną
Przed rozpoczęciem
Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup
obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
1 | Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
|
4 | Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych
Przed rozpoczęciem
Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
1 | Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.
| ||
2 | Wysyłaj wiadomości do nowego obszaru. | ||
3 | Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych. |
Monitorowanie stanu hybrydowego bezpieczeństwa danych
1 | W Control Hub wybierz Usługi z menu po lewej stronie ekranu. |
2 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
|
3 | W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter. |
Dodawanie lub usuwanie użytkowników z wersji próbnej
Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.
Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup
; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej. |
4 | Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz . |
Przeniesienie z wersji próbnej do produkcji
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij opcję Przenieś do produkcji. |
4 | Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji. |
Zakończ wersję próbną bez przejścia do produkcji
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Dezaktywuj kliknij przycisk Dezaktywuj. |
4 | Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny. |
Zarządzanie wdrożeniem HDS
Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.
Ustaw harmonogram uaktualniania klastra
Aby ustawić harmonogram uaktualniania:
1 | Zaloguj się do Centrum sterowania . |
2 | Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security. |
3 | Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster. |
4 | W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra. |
5 | Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż. |
Zmień konfigurację węzła
Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.
Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.
Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.
Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.
Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:
Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset — Stare hasła natychmiast przestają działać.
Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.
Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.
1 | Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS. |
2 | Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów. |
3 | W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: |
4 | Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja. |
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.
Przed rozpoczęciem
1 | W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się. |
2 | Przejdź do Przegląd (strona domyślna). Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak . |
3 | Przejdź do strony Trust Store & Proxy. |
4 | Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr. |
Co zrobić dalej
Usuń węzeł
1 | Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną. |
2 | Usuń węzeł: |
3 | W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń). Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa. |
Odzyskiwanie po awarii za pomocą Standby Data Center
Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.
Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:
Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts. | ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS
Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.
Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.
Przed rozpoczęciem
Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.
1 | Zamknij jeden z węzłów HDS. |
2 | W urządzeniu VCenter Server Appliance wybierz węzeł HDS. |
3 | Wybierz pliku Datastore ISO. i usuń zaznaczenie |
4 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut. |
5 | Powtórz kolejno dla każdego węzła HDS. |
Wyświetlanie alertów i rozwiązywania problemów
Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:
Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania
Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.
Alerty
Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.
Alert | Czynność |
---|---|
Niepowodzenie dostępu do lokalnej bazy danych. |
Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną. |
Niepowodzenie połączenia z lokalną bazą danych. |
Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi. |
Niepowodzenie dostępu do usługi w chmurze. |
Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności. |
Odnowienie rejestracji usług w chmurze. |
Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji. |
Rejestracja usług w chmurze została odrzucona. |
Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona. |
Usługa jeszcze nie została aktywowana. |
Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji. |
Skonfigurowana domena nie odpowiada certyfikatowi serwera. |
Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji. |
Nie można uwierzytelnić usług w chmurze. |
Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi. |
Nie można otworzyć lokalnego pliku keystore. |
Sprawdź integralność i dokładność hasła w lokalnym pliku keystore. |
Certyfikat lokalnego serwera jest nieprawidłowy. |
Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji. |
Nie można publikować metryk. |
Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze. |
/media/configdrive/hds katalog nie istnieje. |
Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany. |
Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
1 | Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy. |
2 | Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych. |
3 | Skontaktuj się z pomocą techniczną Cisco. |
Znane problemy dotyczące hybrydowych zabezpieczeń danych
Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.
To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).
Użyj protokołu OpenSSL, aby wygenerować plik PKCS12
Przed rozpoczęciem
OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.
1 | Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako |
2 | Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.
|
3 | Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie
|
4 | Utwórz plik .p12 o przyjaznej nazwie
|
5 | Sprawdź szczegóły certyfikatu serwera. |
Co zrobić dalej
Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12
plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.
Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu. |
Ruch między węzłami HDS a chmurą
Ruch zbierania metryk wychodzących
Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).
Ruch przychodzący
Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:
Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła
Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych
Websocket Nie Można Połączyć Za Pomocą Proxy Squid
Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:
) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss:
ruch w celu prawidłowego funkcjonowania usług.
Squid 4 i 5
Dodaj on_unsupported_protocol
dyrektywa do squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf
. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nowe i zmienione informacje
Data | Zmiany | ||
---|---|---|---|
20 października 2023 r. |
| ||
07 sierpnia 2023 r. |
| ||
23 maja 2023 r. |
| ||
06 grudnia 2022 r. |
| ||
23 listopada 2022 r. |
| ||
13 października 2021 r. | Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker. | ||
24 czerwca 2021 r. | Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12. | ||
30 kwietnia 2021 r. | Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego. | ||
24 lutego 2021 r. | Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS. | ||
2 lutego 2021 r. | HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS. | ||
11 stycznia 2021 r. | Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS. | ||
13 października 2020 r. | Zaktualizowano Pobierz pliki instalacyjne. | ||
8 października 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP. | ||
14 sierpnia 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania. | ||
5 sierpnia 2020 r. | Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów. | ||
16 czerwca 2020 r. | Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub. | ||
4 czerwca 2020 r. | Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić. | ||
29 maja 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami. | ||
5 maja 2020 r. | Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5. | ||
21 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas. | ||
1 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI. | ||
20 lutego 2020 r. | Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS. | ||
4 lutego 2020 r. | Zaktualizowano wymagania serwera proxy. | ||
16 grudnia 2019 r. | Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy. | ||
19 listopada 2019 r. | Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach: | ||
8 listopada 2019 r. | Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje:
| ||
6 września 2019 r. | Dodano SQL Server Standard do wymagań serwera bazy danych. | ||
29 sierpnia 2019 r. | Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi. | ||
20 sierpnia 2019 r. | Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex. Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh . | ||
13 czerwca 2019 r. | Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu. | ||
6 marca 2019 r. |
| ||
28 lutego 2019 r. |
| ||
26 lutego 2019 r. |
| ||
24 stycznia 2019 r. |
| ||
5 listopada 2018 r. |
| ||
19 października 2018 r. |
| ||
31 lipca 2018 r. |
| ||
21 maja 2018 r. | Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:
| ||
11 kwietnia 2018 r. |
| ||
22 lutego 2018 r. |
| ||
Luty 15, 2018 |
| ||
Styczeń 18, 2018 |
| ||
2 listopada 2017 r. |
| ||
18 sierpnia 2017 r. | Pierwsza publikacja |
Przegląd zabezpieczeń danych hybrydowych
Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.
Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.
Architektura domeny zabezpieczeń
Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.
Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.
Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:
Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.
Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.
Współpraca z innymi organizacjami
Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.
Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).
Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.
Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:
Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.
Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:
Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.
Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS. |
Proces konfiguracji na wysokim poziomie
Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:
Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.
Hybrydowy model wdrażania zabezpieczeń danych
W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.
Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).
Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).
Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.
Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.
Obsługujemy tylko jeden klaster na organizację.
Tryb próbny zabezpieczeń danych hybrydowych
Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.
Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.
Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.
Standby Data Center for Disaster Recovery
Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.
Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.
Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych. |
Konfiguracja Standby Data Center do odzyskiwania awarii
Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:
Przed rozpoczęciem
Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.
| ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
Po skonfigurowaniu passiveMode
w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode
konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode
skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).
Wsparcie proxy
Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:
Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
Brak — dalsze uwierzytelnianie nie jest wymagane.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy
Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.
Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Wymagania dotyczące hybrydowego bezpieczeństwa danych
Wymagania licencyjne Cisco Webex
Aby wdrożyć hybrydowe zabezpieczenia danych:
Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).
Docker Wymagania pulpitowe
Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.
Wymagania dotyczące certyfikatu X.509
Łańcuch certyfikatów musi spełniać następujące wymagania:
Wymaganie | Szczegóły |
---|---|
| Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych. |
| Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji. |
| Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło. |
Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.
Wymagania dotyczące wirtualnego prowadzącego
Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:
Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.
Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer
Wymagania serwera bazy danych
Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych. |
Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) | Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC kierowca 42.2.5 | SQL Server JDBC sterownik 4.6 Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups). |
Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server
Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:
Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.
Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.
Wymagania dotyczące połączeń zewnętrznych
Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:
Aplikacja | Protokół | Port | Polecenie z aplikacji | Miejsce docelowe |
---|---|---|---|---|
Węzły hybrydowego zabezpieczenia danych | TCP | 443 | Zewnętrzne HTTPS i WSS |
|
Narzędzie do konfigurowania HDS | TCP | 443 | Zewnętrzny protokół HTTPS |
|
Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych. |
Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:
Region | Wspólne adresy URL prowadzącego tożsamości |
---|---|
Ameryka |
|
Unia Europejska |
|
Kanada |
|
Wymagania serwera proxy
Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.
Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).
Wyraźny serwer proxy — Squid.
Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.
Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do
wbx2.com
iciscospark.com
rozwiąże problem.
Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
1 | Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta. | ||
2 | Wybierz nazwę domeny dla wdrożenia HDS (na przykład | ||
3 | Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta. | ||
4 | Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami. | ||
5 | W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. | ||
6 | Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514). | ||
7 | Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.
Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii. | ||
8 | Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności. | ||
9 | Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera. Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności. | ||
10 | Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy. | ||
11 | Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie
|
Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Przed rozpoczęciem
1 |
Pobierz plik OVA do lokalnego komputera, aby później go użyć. | ||
2 | Tworzenie ISO konfiguracji dla prowadzących HDS Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych. | ||
3 |
Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.
| ||
4 | Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA. | ||
5 | Prześlij i zamontuj ISO konfiguracji HDS Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS. | ||
6 | Konfigurowanie węzła HDS dla integracji serwera proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania. | ||
7 | Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych. | ||
8 | Tworzenie i rejestrowanie większej liczby węzłów Zakończ konfigurację klastra. | ||
9 | Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział) Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
Pobierz pliki instalacyjne
1 | Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi. | ||||
2 | W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj. Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.
| ||||
3 | Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej. Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
| ||||
4 | Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika. |
Tworzenie ISO konfiguracji dla prowadzących HDS
Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
Poświadczenia bazy danych
Aktualizacje certyfikatów
Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.
1 | W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach:
W środowiskach FedRAMP:
| ||||||||||||
2 | Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:
| ||||||||||||
3 | Po wyświetleniu monitu o hasło wprowadź ten skrót:
| ||||||||||||
4 | Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach:
W środowiskach FedRAMP:
| ||||||||||||
5 | Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:
Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. | ||||||||||||
6 |
Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie. | ||||||||||||
7 | Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security. | ||||||||||||
8 | Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij. | ||||||||||||
9 | Na stronie ISO Import dostępne są następujące opcje:
| ||||||||||||
10 | Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.
| ||||||||||||
11 | Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych: | ||||||||||||
12 | Wybierz tryb połączenia z bazą danych TLS:
Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować). | ||||||||||||
13 | Na stronie Dzienniki systemu skonfiguruj serwer Syslogd: | ||||||||||||
14 | (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:
| ||||||||||||
15 | Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi . Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO. | ||||||||||||
16 | Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć. | ||||||||||||
17 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||||||||||||
18 | Aby zamknąć narzędzie Setup, wpisz: |
Co zrobić dalej
Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.
Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz. |
Instalowanie OVA hosta HDS
1 | Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze. | ||||||
2 | Wybierz Plik > Wdrożenie szablonu OVF. | ||||||
3 | W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny. | ||||||
4 | Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny. | ||||||
5 | Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny. Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu. | ||||||
6 | Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej. | ||||||
7 | Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny. | ||||||
8 | Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM. | ||||||
9 | Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną. | ||||||
10 | Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:
Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.
| ||||||
11 | Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz .Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować. |
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych
Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.
1 | W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
|
2 | Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora. |
3 | Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację. |
4 | Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany. |
5 | (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509. |
6 | Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie. |
Prześlij i zamontuj ISO konfiguracji HDS
Przed rozpoczęciem
Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.
1 | Prześlij plik ISO z komputera: |
2 | Montaż pliku ISO: |
Co zrobić dalej
Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.
Konfigurowanie węzła HDS dla integracji serwera proxy
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.
Przed rozpoczęciem
Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
1 | Wprowadź adres URL konfiguracji węzła HDS |
2 | Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:
Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS. |
3 | Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik. |
4 | Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS. |
5 | Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania. |
6 | Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut. |
7 | Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Zarejestruj pierwszy węzeł w klastrze
Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Zaloguj się w https://admin.webex.com. |
2 | W menu po lewej stronie ekranu wybierz opcję Usługi. |
3 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
|
4 | Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej. |
5 | W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas" |
6 | W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
|
7 | Kliknij przycisk Przejdź do węzła. |
8 | Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
|
9 | Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
|
10 | Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.
|
Tworzenie i rejestrowanie większej liczby węzłów
W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center. |
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS. |
2 | Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych. |
3 | W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS. |
4 | Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła. |
5 | Zarejestruj węzeł. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
|
Co zrobić dalej
Przepływ próby do zadania produkcyjnego
Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.
Przed rozpoczęciem
1 | Jeśli dotyczy, zsynchronizuj Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać |
2 |
Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
3 | Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych. |
4 | Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów. |
5 | |
6 | Zakończ fazę próbną, wykonując jedną z następujących czynności: |
Aktywuj wersję próbną
Przed rozpoczęciem
Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup
obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
1 | Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
|
4 | Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych
Przed rozpoczęciem
Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
1 | Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.
| ||
2 | Wysyłaj wiadomości do nowego obszaru. | ||
3 | Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych. |
Monitorowanie stanu hybrydowego bezpieczeństwa danych
1 | W Control Hub wybierz Usługi z menu po lewej stronie ekranu. |
2 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
|
3 | W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter. |
Dodawanie lub usuwanie użytkowników z wersji próbnej
Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.
Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup
; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej. |
4 | Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz . |
Przeniesienie z wersji próbnej do produkcji
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij opcję Przenieś do produkcji. |
4 | Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji. |
Zakończ wersję próbną bez przejścia do produkcji
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Dezaktywuj kliknij przycisk Dezaktywuj. |
4 | Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny. |
Zarządzanie wdrożeniem HDS
Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.
Ustaw harmonogram uaktualniania klastra
Aby ustawić harmonogram uaktualniania:
1 | Zaloguj się do Centrum sterowania . |
2 | Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security. |
3 | Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster. |
4 | W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra. |
5 | Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż. |
Zmień konfigurację węzła
Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.
Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.
Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.
Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.
Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:
Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset — Stare hasła natychmiast przestają działać.
Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.
Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.
1 | Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS. |
2 | Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów. |
3 | W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: |
4 | Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja. |
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.
Przed rozpoczęciem
1 | W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się. |
2 | Przejdź do Przegląd (strona domyślna). Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak . |
3 | Przejdź do strony Trust Store & Proxy. |
4 | Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr. |
Co zrobić dalej
Usuń węzeł
1 | Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną. |
2 | Usuń węzeł: |
3 | W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń). Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa. |
Odzyskiwanie po awarii za pomocą Standby Data Center
Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.
Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:
Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts. | ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS
Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.
Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.
Przed rozpoczęciem
Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.
1 | Zamknij jeden z węzłów HDS. |
2 | W urządzeniu VCenter Server Appliance wybierz węzeł HDS. |
3 | Wybierz pliku Datastore ISO. i usuń zaznaczenie |
4 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut. |
5 | Powtórz kolejno dla każdego węzła HDS. |
Wyświetlanie alertów i rozwiązywania problemów
Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:
Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania
Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.
Alerty
Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.
Alert | Czynność |
---|---|
Niepowodzenie dostępu do lokalnej bazy danych. |
Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną. |
Niepowodzenie połączenia z lokalną bazą danych. |
Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi. |
Niepowodzenie dostępu do usługi w chmurze. |
Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności. |
Odnowienie rejestracji usług w chmurze. |
Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji. |
Rejestracja usług w chmurze została odrzucona. |
Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona. |
Usługa jeszcze nie została aktywowana. |
Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji. |
Skonfigurowana domena nie odpowiada certyfikatowi serwera. |
Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji. |
Nie można uwierzytelnić usług w chmurze. |
Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi. |
Nie można otworzyć lokalnego pliku keystore. |
Sprawdź integralność i dokładność hasła w lokalnym pliku keystore. |
Certyfikat lokalnego serwera jest nieprawidłowy. |
Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji. |
Nie można publikować metryk. |
Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze. |
/media/configdrive/hds katalog nie istnieje. |
Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany. |
Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
1 | Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy. |
2 | Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych. |
3 | Skontaktuj się z pomocą techniczną Cisco. |
Znane problemy dotyczące hybrydowych zabezpieczeń danych
Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.
To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).
Użyj protokołu OpenSSL, aby wygenerować plik PKCS12
Przed rozpoczęciem
OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.
1 | Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako |
2 | Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.
|
3 | Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie
|
4 | Utwórz plik .p12 o przyjaznej nazwie
|
5 | Sprawdź szczegóły certyfikatu serwera. |
Co zrobić dalej
Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12
plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.
Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu. |
Ruch między węzłami HDS a chmurą
Ruch zbierania metryk wychodzących
Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).
Ruch przychodzący
Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:
Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła
Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych
Websocket Nie Można Połączyć Za Pomocą Proxy Squid
Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:
) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss:
ruch w celu prawidłowego funkcjonowania usług.
Squid 4 i 5
Dodaj on_unsupported_protocol
dyrektywa do squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf
. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nowe i zmienione informacje
Data | Zmiany | ||
---|---|---|---|
20 października 2023 r. |
| ||
07 sierpnia 2023 r. |
| ||
23 maja 2023 r. |
| ||
06 grudnia 2022 r. |
| ||
23 listopada 2022 r. |
| ||
13 października 2021 r. | Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker. | ||
24 czerwca 2021 r. | Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12. | ||
30 kwietnia 2021 r. | Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego. | ||
24 lutego 2021 r. | Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS. | ||
2 lutego 2021 r. | HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS. | ||
11 stycznia 2021 r. | Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS. | ||
13 października 2020 r. | Zaktualizowano Pobierz pliki instalacyjne. | ||
8 października 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP. | ||
14 sierpnia 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania. | ||
5 sierpnia 2020 r. | Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów. | ||
16 czerwca 2020 r. | Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub. | ||
4 czerwca 2020 r. | Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić. | ||
29 maja 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami. | ||
5 maja 2020 r. | Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5. | ||
21 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas. | ||
1 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI. | ||
20 lutego 2020 r. | Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS. | ||
4 lutego 2020 r. | Zaktualizowano wymagania serwera proxy. | ||
16 grudnia 2019 r. | Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy. | ||
19 listopada 2019 r. | Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach: | ||
8 listopada 2019 r. | Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje:
| ||
6 września 2019 r. | Dodano SQL Server Standard do wymagań serwera bazy danych. | ||
29 sierpnia 2019 r. | Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi. | ||
20 sierpnia 2019 r. | Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex. Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh . | ||
13 czerwca 2019 r. | Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu. | ||
6 marca 2019 r. |
| ||
28 lutego 2019 r. |
| ||
26 lutego 2019 r. |
| ||
24 stycznia 2019 r. |
| ||
5 listopada 2018 r. |
| ||
19 października 2018 r. |
| ||
31 lipca 2018 r. |
| ||
21 maja 2018 r. | Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:
| ||
11 kwietnia 2018 r. |
| ||
22 lutego 2018 r. |
| ||
Luty 15, 2018 |
| ||
Styczeń 18, 2018 |
| ||
2 listopada 2017 r. |
| ||
18 sierpnia 2017 r. | Pierwsza publikacja |
Przegląd zabezpieczeń danych hybrydowych
Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.
Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.
Architektura domeny zabezpieczeń
Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.
Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.
Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:
Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.
Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.
Współpraca z innymi organizacjami
Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.
Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).
Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.
Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:
Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.
Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:
Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.
Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS. |
Proces konfiguracji na wysokim poziomie
Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:
Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.
Hybrydowy model wdrażania zabezpieczeń danych
W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.
Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).
Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).
Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.
Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.
Obsługujemy tylko jeden klaster na organizację.
Tryb próbny zabezpieczeń danych hybrydowych
Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.
Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.
Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.
Standby Data Center for Disaster Recovery
Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.
Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.
Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych. |
Konfiguracja Standby Data Center do odzyskiwania awarii
Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:
Przed rozpoczęciem
Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.
| ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
Po skonfigurowaniu passiveMode
w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode
konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode
skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).
Wsparcie proxy
Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:
Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
Brak — dalsze uwierzytelnianie nie jest wymagane.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy
Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.
Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Wymagania dotyczące hybrydowego bezpieczeństwa danych
Wymagania licencyjne Cisco Webex
Aby wdrożyć hybrydowe zabezpieczenia danych:
Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).
Docker Wymagania pulpitowe
Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.
Wymagania dotyczące certyfikatu X.509
Łańcuch certyfikatów musi spełniać następujące wymagania:
Wymaganie | Szczegóły |
---|---|
| Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych. |
| Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji. |
| Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło. |
Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.
Wymagania dotyczące wirtualnego prowadzącego
Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:
Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.
Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer
Wymagania serwera bazy danych
Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych. |
Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) | Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC kierowca 42.2.5 | SQL Server JDBC sterownik 4.6 Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups). |
Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server
Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:
Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.
Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.
Wymagania dotyczące połączeń zewnętrznych
Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:
Aplikacja | Protokół | Port | Polecenie z aplikacji | Miejsce docelowe |
---|---|---|---|---|
Węzły hybrydowego zabezpieczenia danych | TCP | 443 | Zewnętrzne HTTPS i WSS |
|
Narzędzie do konfigurowania HDS | TCP | 443 | Zewnętrzny protokół HTTPS |
|
Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych. |
Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:
Region | Wspólne adresy URL prowadzącego tożsamości |
---|---|
Ameryka |
|
Unia Europejska |
|
Kanada |
|
Wymagania serwera proxy
Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.
Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).
Wyraźny serwer proxy — Squid.
Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.
Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do
wbx2.com
iciscospark.com
rozwiąże problem.
Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
1 | Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta. | ||
2 | Wybierz nazwę domeny dla wdrożenia HDS (na przykład | ||
3 | Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta. | ||
4 | Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami. | ||
5 | W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. | ||
6 | Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514). | ||
7 | Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.
Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii. | ||
8 | Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności. | ||
9 | Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera. Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności. | ||
10 | Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy. | ||
11 | Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie
|
Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Przed rozpoczęciem
1 |
Pobierz plik OVA do lokalnego komputera, aby później go użyć. | ||
2 | Tworzenie ISO konfiguracji dla prowadzących HDS Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych. | ||
3 |
Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.
| ||
4 | Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA. | ||
5 | Prześlij i zamontuj ISO konfiguracji HDS Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS. | ||
6 | Konfigurowanie węzła HDS dla integracji serwera proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania. | ||
7 | Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych. | ||
8 | Tworzenie i rejestrowanie większej liczby węzłów Zakończ konfigurację klastra. | ||
9 | Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział) Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
Pobierz pliki instalacyjne
1 | Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi. | ||||
2 | W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj. Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.
| ||||
3 | Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej. Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
| ||||
4 | Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika. |
Tworzenie ISO konfiguracji dla prowadzących HDS
Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
Poświadczenia bazy danych
Aktualizacje certyfikatów
Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.
1 | W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach:
W środowiskach FedRAMP:
| ||||||||||||
2 | Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:
| ||||||||||||
3 | Po wyświetleniu monitu o hasło wprowadź ten skrót:
| ||||||||||||
4 | Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach:
W środowiskach FedRAMP:
| ||||||||||||
5 | Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:
Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. | ||||||||||||
6 |
Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie. | ||||||||||||
7 | Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security. | ||||||||||||
8 | Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij. | ||||||||||||
9 | Na stronie ISO Import dostępne są następujące opcje:
| ||||||||||||
10 | Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.
| ||||||||||||
11 | Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych: | ||||||||||||
12 | Wybierz tryb połączenia z bazą danych TLS:
Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować). | ||||||||||||
13 | Na stronie Dzienniki systemu skonfiguruj serwer Syslogd: | ||||||||||||
14 | (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:
| ||||||||||||
15 | Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi . Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO. | ||||||||||||
16 | Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć. | ||||||||||||
17 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||||||||||||
18 | Aby zamknąć narzędzie Setup, wpisz: |
Co zrobić dalej
Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.
Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz. |
Instalowanie OVA hosta HDS
1 | Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze. | ||||||
2 | Wybierz Plik > Wdrożenie szablonu OVF. | ||||||
3 | W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny. | ||||||
4 | Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny. | ||||||
5 | Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny. Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu. | ||||||
6 | Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej. | ||||||
7 | Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny. | ||||||
8 | Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM. | ||||||
9 | Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną. | ||||||
10 | Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:
Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.
| ||||||
11 | Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz .Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować. |
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych
Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.
1 | W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
|
2 | Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora. |
3 | Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację. |
4 | Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany. |
5 | (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509. |
6 | Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie. |
Prześlij i zamontuj ISO konfiguracji HDS
Przed rozpoczęciem
Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.
1 | Prześlij plik ISO z komputera: |
2 | Montaż pliku ISO: |
Co zrobić dalej
Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.
Konfigurowanie węzła HDS dla integracji serwera proxy
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.
Przed rozpoczęciem
Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
1 | Wprowadź adres URL konfiguracji węzła HDS |
2 | Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:
Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS. |
3 | Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik. |
4 | Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS. |
5 | Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania. |
6 | Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut. |
7 | Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Zarejestruj pierwszy węzeł w klastrze
Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Zaloguj się w https://admin.webex.com. |
2 | W menu po lewej stronie ekranu wybierz opcję Usługi. |
3 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
|
4 | Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej. |
5 | W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas" |
6 | W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
|
7 | Kliknij przycisk Przejdź do węzła. |
8 | Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
|
9 | Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
|
10 | Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.
|
Tworzenie i rejestrowanie większej liczby węzłów
W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center. |
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS. |
2 | Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych. |
3 | W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS. |
4 | Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła. |
5 | Zarejestruj węzeł. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
|
Co zrobić dalej
Przepływ próby do zadania produkcyjnego
Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.
Przed rozpoczęciem
1 | Jeśli dotyczy, zsynchronizuj Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać |
2 |
Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
3 | Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych. |
4 | Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów. |
5 | |
6 | Zakończ fazę próbną, wykonując jedną z następujących czynności: |
Aktywuj wersję próbną
Przed rozpoczęciem
Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup
obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
1 | Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
|
4 | Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych
Przed rozpoczęciem
Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
1 | Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.
| ||
2 | Wysyłaj wiadomości do nowego obszaru. | ||
3 | Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych. |
Monitorowanie stanu hybrydowego bezpieczeństwa danych
1 | W Control Hub wybierz Usługi z menu po lewej stronie ekranu. |
2 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
|
3 | W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter. |
Dodawanie lub usuwanie użytkowników z wersji próbnej
Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.
Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup
; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej. |
4 | Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz . |
Przeniesienie z wersji próbnej do produkcji
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij opcję Przenieś do produkcji. |
4 | Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji. |
Zakończ wersję próbną bez przejścia do produkcji
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Dezaktywuj kliknij przycisk Dezaktywuj. |
4 | Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny. |
Zarządzanie wdrożeniem HDS
Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.
Ustaw harmonogram uaktualniania klastra
Aby ustawić harmonogram uaktualniania:
1 | Zaloguj się do Centrum sterowania . |
2 | Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security. |
3 | Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster. |
4 | W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra. |
5 | Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż. |
Zmień konfigurację węzła
Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.
Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.
Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.
Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.
Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:
Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset — Stare hasła natychmiast przestają działać.
Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.
Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.
1 | Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS. |
2 | Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów. |
3 | W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: |
4 | Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja. |
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.
Przed rozpoczęciem
1 | W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się. |
2 | Przejdź do Przegląd (strona domyślna). Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak . |
3 | Przejdź do strony Trust Store & Proxy. |
4 | Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr. |
Co zrobić dalej
Usuń węzeł
1 | Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną. |
2 | Usuń węzeł: |
3 | W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń). Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa. |
Odzyskiwanie po awarii za pomocą Standby Data Center
Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.
Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:
Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts. | ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS
Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.
Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.
Przed rozpoczęciem
Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.
1 | Zamknij jeden z węzłów HDS. |
2 | W urządzeniu VCenter Server Appliance wybierz węzeł HDS. |
3 | Wybierz pliku Datastore ISO. i usuń zaznaczenie |
4 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut. |
5 | Powtórz kolejno dla każdego węzła HDS. |
Wyświetlanie alertów i rozwiązywania problemów
Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:
Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania
Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.
Alerty
Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.
Alert | Czynność |
---|---|
Niepowodzenie dostępu do lokalnej bazy danych. |
Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną. |
Niepowodzenie połączenia z lokalną bazą danych. |
Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi. |
Niepowodzenie dostępu do usługi w chmurze. |
Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności. |
Odnowienie rejestracji usług w chmurze. |
Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji. |
Rejestracja usług w chmurze została odrzucona. |
Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona. |
Usługa jeszcze nie została aktywowana. |
Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji. |
Skonfigurowana domena nie odpowiada certyfikatowi serwera. |
Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji. |
Nie można uwierzytelnić usług w chmurze. |
Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi. |
Nie można otworzyć lokalnego pliku keystore. |
Sprawdź integralność i dokładność hasła w lokalnym pliku keystore. |
Certyfikat lokalnego serwera jest nieprawidłowy. |
Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji. |
Nie można publikować metryk. |
Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze. |
/media/configdrive/hds katalog nie istnieje. |
Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany. |
Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
1 | Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy. |
2 | Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych. |
3 | Skontaktuj się z pomocą techniczną Cisco. |
Znane problemy dotyczące hybrydowych zabezpieczeń danych
Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.
To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).
Użyj protokołu OpenSSL, aby wygenerować plik PKCS12
Przed rozpoczęciem
OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.
1 | Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako |
2 | Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.
|
3 | Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie
|
4 | Utwórz plik .p12 o przyjaznej nazwie
|
5 | Sprawdź szczegóły certyfikatu serwera. |
Co zrobić dalej
Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12
plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.
Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu. |
Ruch między węzłami HDS a chmurą
Ruch zbierania metryk wychodzących
Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).
Ruch przychodzący
Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:
Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła
Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych
Websocket Nie Można Połączyć Za Pomocą Proxy Squid
Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:
) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss:
ruch w celu prawidłowego funkcjonowania usług.
Squid 4 i 5
Dodaj on_unsupported_protocol
dyrektywa do squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf
. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nowe i zmienione informacje
Data | Zmiany | ||
---|---|---|---|
20 października 2023 r. |
| ||
07 sierpnia 2023 r. |
| ||
23 maja 2023 r. |
| ||
06 grudnia 2022 r. |
| ||
23 listopada 2022 r. |
| ||
13 października 2021 r. | Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker. | ||
24 czerwca 2021 r. | Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12. | ||
30 kwietnia 2021 r. | Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego. | ||
24 lutego 2021 r. | Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS. | ||
2 lutego 2021 r. | HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS. | ||
11 stycznia 2021 r. | Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS. | ||
13 października 2020 r. | Zaktualizowano Pobierz pliki instalacyjne. | ||
8 października 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP. | ||
14 sierpnia 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania. | ||
5 sierpnia 2020 r. | Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów. | ||
16 czerwca 2020 r. | Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub. | ||
4 czerwca 2020 r. | Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić. | ||
29 maja 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami. | ||
5 maja 2020 r. | Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5. | ||
21 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas. | ||
1 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI. | ||
20 lutego 2020 r. | Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS. | ||
4 lutego 2020 r. | Zaktualizowano wymagania serwera proxy. | ||
16 grudnia 2019 r. | Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy. | ||
19 listopada 2019 r. | Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach: | ||
8 listopada 2019 r. | Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje:
| ||
6 września 2019 r. | Dodano SQL Server Standard do wymagań serwera bazy danych. | ||
29 sierpnia 2019 r. | Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi. | ||
20 sierpnia 2019 r. | Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex. Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh . | ||
13 czerwca 2019 r. | Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu. | ||
6 marca 2019 r. |
| ||
28 lutego 2019 r. |
| ||
26 lutego 2019 r. |
| ||
24 stycznia 2019 r. |
| ||
5 listopada 2018 r. |
| ||
19 października 2018 r. |
| ||
31 lipca 2018 r. |
| ||
21 maja 2018 r. | Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:
| ||
11 kwietnia 2018 r. |
| ||
22 lutego 2018 r. |
| ||
Luty 15, 2018 |
| ||
Styczeń 18, 2018 |
| ||
2 listopada 2017 r. |
| ||
18 sierpnia 2017 r. | Pierwsza publikacja |
Przegląd zabezpieczeń danych hybrydowych
Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.
Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.
Architektura domeny zabezpieczeń
Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.
Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.
Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:
Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.
Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.
Współpraca z innymi organizacjami
Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.
Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).
Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.
Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:
Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.
Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:
Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.
Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS. |
Proces konfiguracji na wysokim poziomie
Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:
Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.
Hybrydowy model wdrażania zabezpieczeń danych
W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.
Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).
Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).
Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.
Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.
Obsługujemy tylko jeden klaster na organizację.
Tryb próbny zabezpieczeń danych hybrydowych
Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.
Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.
Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.
Standby Data Center for Disaster Recovery
Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.
Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.
Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych. |
Konfiguracja Standby Data Center do odzyskiwania awarii
Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:
Przed rozpoczęciem
Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.
| ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
Po skonfigurowaniu passiveMode
w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode
konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode
skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).
Wsparcie proxy
Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:
Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
Brak — dalsze uwierzytelnianie nie jest wymagane.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy
Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.
Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Wymagania dotyczące hybrydowego bezpieczeństwa danych
Wymagania licencyjne Cisco Webex
Aby wdrożyć hybrydowe zabezpieczenia danych:
Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).
Docker Wymagania pulpitowe
Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.
Wymagania dotyczące certyfikatu X.509
Łańcuch certyfikatów musi spełniać następujące wymagania:
Wymaganie | Szczegóły |
---|---|
| Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych. |
| Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji. |
| Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło. |
Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.
Wymagania dotyczące wirtualnego prowadzącego
Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:
Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.
Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer
Wymagania serwera bazy danych
Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych. |
Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) | Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC kierowca 42.2.5 | SQL Server JDBC sterownik 4.6 Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups). |
Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server
Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:
Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.
Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.
Wymagania dotyczące połączeń zewnętrznych
Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:
Aplikacja | Protokół | Port | Polecenie z aplikacji | Miejsce docelowe |
---|---|---|---|---|
Węzły hybrydowego zabezpieczenia danych | TCP | 443 | Zewnętrzne HTTPS i WSS |
|
Narzędzie do konfigurowania HDS | TCP | 443 | Zewnętrzny protokół HTTPS |
|
Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych. |
Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:
Region | Wspólne adresy URL prowadzącego tożsamości |
---|---|
Ameryka |
|
Unia Europejska |
|
Kanada |
|
Wymagania serwera proxy
Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.
Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).
Wyraźny serwer proxy — Squid.
Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.
Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do
wbx2.com
iciscospark.com
rozwiąże problem.
Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
1 | Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta. | ||
2 | Wybierz nazwę domeny dla wdrożenia HDS (na przykład | ||
3 | Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta. | ||
4 | Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami. | ||
5 | W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. | ||
6 | Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514). | ||
7 | Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.
Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii. | ||
8 | Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności. | ||
9 | Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera. Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności. | ||
10 | Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy. | ||
11 | Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie
|
Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Przed rozpoczęciem
1 |
Pobierz plik OVA do lokalnego komputera, aby później go użyć. | ||
2 | Tworzenie ISO konfiguracji dla prowadzących HDS Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych. | ||
3 |
Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.
| ||
4 | Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA. | ||
5 | Prześlij i zamontuj ISO konfiguracji HDS Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS. | ||
6 | Konfigurowanie węzła HDS dla integracji serwera proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania. | ||
7 | Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych. | ||
8 | Tworzenie i rejestrowanie większej liczby węzłów Zakończ konfigurację klastra. | ||
9 | Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział) Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
Pobierz pliki instalacyjne
1 | Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi. | ||||
2 | W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj. Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.
| ||||
3 | Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej. Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
| ||||
4 | Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika. |
Tworzenie ISO konfiguracji dla prowadzących HDS
Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
Poświadczenia bazy danych
Aktualizacje certyfikatów
Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.
1 | W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach:
W środowiskach FedRAMP:
| ||||||||||||
2 | Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:
| ||||||||||||
3 | Po wyświetleniu monitu o hasło wprowadź ten skrót:
| ||||||||||||
4 | Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach:
W środowiskach FedRAMP:
| ||||||||||||
5 | Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:
Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. | ||||||||||||
6 |
Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie. | ||||||||||||
7 | Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security. | ||||||||||||
8 | Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij. | ||||||||||||
9 | Na stronie ISO Import dostępne są następujące opcje:
| ||||||||||||
10 | Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.
| ||||||||||||
11 | Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych: | ||||||||||||
12 | Wybierz tryb połączenia z bazą danych TLS:
Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować). | ||||||||||||
13 | Na stronie Dzienniki systemu skonfiguruj serwer Syslogd: | ||||||||||||
14 | (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:
| ||||||||||||
15 | Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi . Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO. | ||||||||||||
16 | Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć. | ||||||||||||
17 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||||||||||||
18 | Aby zamknąć narzędzie Setup, wpisz: |
Co zrobić dalej
Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.
Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz. |
Instalowanie OVA hosta HDS
1 | Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze. | ||||||
2 | Wybierz Plik > Wdrożenie szablonu OVF. | ||||||
3 | W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny. | ||||||
4 | Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny. | ||||||
5 | Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny. Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu. | ||||||
6 | Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej. | ||||||
7 | Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny. | ||||||
8 | Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM. | ||||||
9 | Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną. | ||||||
10 | Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:
Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.
| ||||||
11 | Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz .Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować. |
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych
Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.
1 | W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
|
2 | Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora. |
3 | Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację. |
4 | Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany. |
5 | (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509. |
6 | Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie. |
Prześlij i zamontuj ISO konfiguracji HDS
Przed rozpoczęciem
Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.
1 | Prześlij plik ISO z komputera: |
2 | Montaż pliku ISO: |
Co zrobić dalej
Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.
Konfigurowanie węzła HDS dla integracji serwera proxy
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.
Przed rozpoczęciem
Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
1 | Wprowadź adres URL konfiguracji węzła HDS |
2 | Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:
Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS. |
3 | Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik. |
4 | Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS. |
5 | Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania. |
6 | Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut. |
7 | Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Zarejestruj pierwszy węzeł w klastrze
Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Zaloguj się w https://admin.webex.com. |
2 | W menu po lewej stronie ekranu wybierz opcję Usługi. |
3 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
|
4 | Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej. |
5 | W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas" |
6 | W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
|
7 | Kliknij przycisk Przejdź do węzła. |
8 | Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
|
9 | Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
|
10 | Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.
|
Tworzenie i rejestrowanie większej liczby węzłów
W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center. |
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS. |
2 | Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych. |
3 | W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS. |
4 | Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła. |
5 | Zarejestruj węzeł. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
|
Co zrobić dalej
Przepływ próby do zadania produkcyjnego
Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.
Przed rozpoczęciem
1 | Jeśli dotyczy, zsynchronizuj Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać |
2 |
Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
3 | Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych. |
4 | Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów. |
5 | |
6 | Zakończ fazę próbną, wykonując jedną z następujących czynności: |
Aktywuj wersję próbną
Przed rozpoczęciem
Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup
obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
1 | Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
|
4 | Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych
Przed rozpoczęciem
Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
1 | Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.
| ||
2 | Wysyłaj wiadomości do nowego obszaru. | ||
3 | Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych. |
Monitorowanie stanu hybrydowego bezpieczeństwa danych
1 | W Control Hub wybierz Usługi z menu po lewej stronie ekranu. |
2 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
|
3 | W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter. |
Dodawanie lub usuwanie użytkowników z wersji próbnej
Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.
Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup
; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej. |
4 | Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz . |
Przeniesienie z wersji próbnej do produkcji
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij opcję Przenieś do produkcji. |
4 | Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji. |
Zakończ wersję próbną bez przejścia do produkcji
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Dezaktywuj kliknij przycisk Dezaktywuj. |
4 | Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny. |
Zarządzanie wdrożeniem HDS
Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.
Ustaw harmonogram uaktualniania klastra
Aby ustawić harmonogram uaktualniania:
1 | Zaloguj się do Centrum sterowania . |
2 | Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security. |
3 | Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster. |
4 | W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra. |
5 | Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż. |
Zmień konfigurację węzła
Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.
Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.
Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.
Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.
Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:
Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset — Stare hasła natychmiast przestają działać.
Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.
Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.
Przed rozpoczęciem
Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.
1 | Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS. |
2 | Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów. |
3 | W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: |
4 | Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja. |
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.
Przed rozpoczęciem
1 | W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się. |
2 | Przejdź do Przegląd (strona domyślna). Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak . |
3 | Przejdź do strony Trust Store & Proxy. |
4 | Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr. |
Co zrobić dalej
Usuń węzeł
1 | Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną. |
2 | Usuń węzeł: |
3 | W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń). Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa. |
Odzyskiwanie po awarii za pomocą Standby Data Center
Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.
Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:
Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts. | ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS
Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.
Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.
Przed rozpoczęciem
Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.
1 | Zamknij jeden z węzłów HDS. |
2 | W urządzeniu VCenter Server Appliance wybierz węzeł HDS. |
3 | Wybierz pliku Datastore ISO. i usuń zaznaczenie |
4 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut. |
5 | Powtórz kolejno dla każdego węzła HDS. |
Wyświetlanie alertów i rozwiązywania problemów
Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:
Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania
Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.
Alerty
Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.
Alert | Czynność |
---|---|
Niepowodzenie dostępu do lokalnej bazy danych. |
Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną. |
Niepowodzenie połączenia z lokalną bazą danych. |
Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi. |
Niepowodzenie dostępu do usługi w chmurze. |
Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności. |
Odnowienie rejestracji usług w chmurze. |
Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji. |
Rejestracja usług w chmurze została odrzucona. |
Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona. |
Usługa jeszcze nie została aktywowana. |
Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji. |
Skonfigurowana domena nie odpowiada certyfikatowi serwera. |
Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji. |
Nie można uwierzytelnić usług w chmurze. |
Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi. |
Nie można otworzyć lokalnego pliku keystore. |
Sprawdź integralność i dokładność hasła w lokalnym pliku keystore. |
Certyfikat lokalnego serwera jest nieprawidłowy. |
Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji. |
Nie można publikować metryk. |
Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze. |
/media/configdrive/hds katalog nie istnieje. |
Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany. |
Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
1 | Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy. |
2 | Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych. |
3 | Skontaktuj się z pomocą techniczną Cisco. |
Znane problemy dotyczące hybrydowych zabezpieczeń danych
Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.
To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).
Użyj protokołu OpenSSL, aby wygenerować plik PKCS12
Przed rozpoczęciem
OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.
1 | Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako |
2 | Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.
|
3 | Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie
|
4 | Utwórz plik .p12 o przyjaznej nazwie
|
5 | Sprawdź szczegóły certyfikatu serwera. |
Co zrobić dalej
Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12
plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.
Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu. |
Ruch między węzłami HDS a chmurą
Ruch zbierania metryk wychodzących
Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).
Ruch przychodzący
Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:
Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła
Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych
Websocket Nie Można Połączyć Za Pomocą Proxy Squid
Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:
) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss:
ruch w celu prawidłowego funkcjonowania usług.
Squid 4 i 5
Dodaj on_unsupported_protocol
dyrektywa do squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf
. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Nowe i zmienione informacje
Data |
Zmiany | ||
---|---|---|---|
20 października 2023 r. |
| ||
07 sierpnia 2023 r. |
| ||
23 maja 2023 r. |
| ||
06 grudnia 2022 r. |
| ||
23 listopada 2022 r. |
| ||
13 października, 2021 |
Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker. | ||
Czerwiec 24, 2021 |
Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12. | ||
30 kwietnia 2021 r. |
Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego . | ||
24 lutego, 2021 |
Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS . | ||
2 lutego 2021 r |
HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS . | ||
11 stycznia 2021 r. |
Dodano informacje o narzędziu konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS. | ||
13 października, 2020 |
Zaktualizowano Pobierz pliki instalacyjne. | ||
8 października 2020 r. |
Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP. | ||
14 sierpnia, 2020 |
Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania. | ||
5 sierpnia 2020 r. |
Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów. | ||
16 czerwca 2020 r. |
Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub. | ||
4 czerwca 2020 r. |
Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić. | ||
29 maja 2020 r. |
Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami. | ||
5 maja 2020 r. |
Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5. | ||
21 kwietnia 2020 r. |
Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas. | ||
1 kwietnia 2020 r. |
Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI. | ||
20 lutego, 2020 | Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS. | ||
12 lutego 2020 r. | Zaktualizowano wymagania serwera proxy. | ||
16 grudnia 2019 r. | Wyjaśnienie wymogu działania Zablokowanego zewnętrznego trybu rozpoznawania DNS w wymaganiach serwera proxy. | ||
19 listopada, 2019 |
Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach: | ||
8 listopada, 2019 |
Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje:
| ||
Wrzesień 6, 2019 |
Dodano SQL Server Standard do wymagań serwera bazy danych. | ||
29 sierpnia 2019 r. | Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi. | ||
Sierpień 20, 2019 |
Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex. Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh . | ||
13 czerwca 2019 r. | Zaktualizowano Trial to Production Task Flow z przypomnieniem o synchronizacji obiektu grupowego HdsTrialGroup przed rozpoczęciem próby, jeśli organizacja korzysta z synchronizacji katalogu. | ||
6 marca 2019 r. |
| ||
28 lutego 2019 r. |
| ||
26 lutego 2019 r. |
| ||
Styczeń 24, 2019 |
| ||
5 listopada 2018 r. |
| ||
19 października 2018 r. |
| ||
31 lipca 2018 r. |
| ||
21 maja 2018 r. |
Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:
| ||
11 kwietnia 2018 r. |
| ||
Luty 22, 2018 |
| ||
Luty 15, 2018 |
| ||
Styczeń 18, 2018 |
| ||
2 listopada 2017 r. |
| ||
18 sierpnia 2017 r. |
Pierwsza publikacja |
Przegląd zabezpieczeń danych hybrydowych
Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tego bezpieczeństwa jest kompleksowe szyfrowanie zawartości, włączone przez klientów aplikacji Webex współpracujących z usługą Key Management Service (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.
Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie posiada kluczy do zaszyfrowanej zawartości.
Architektura domeny zabezpieczeń
Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.
Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.
Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:
-
Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
-
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
-
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
-
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.
Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.
Współpraca z innymi organizacjami
Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.
Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).
Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.
Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:
-
Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
-
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.
Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:
-
Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
-
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.
Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS. |
Proces konfiguracji na wysokim poziomie
Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:
Skonfiguruj hybrydowe zabezpieczenia danych — obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
-
Utrzymaj wdrożenie hybrydowego zabezpieczenia danych — chmura Webex automatycznie zapewnia bieżące uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz używać powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
-
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów — w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.
Hybrydowy model wdrażania zabezpieczeń danych
W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.
Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).
Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).
Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.
Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.
Obsługujemy tylko jeden klaster na organizację.
Tryb próbny zabezpieczeń danych hybrydowych
Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.
Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi kontaktowali się, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.
Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.
Standby Data Center for Disaster Recovery
Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.
Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.
Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych. |
Konfiguracja Standby Data Center do odzyskiwania awarii
Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:
Przed rozpoczęciem
-
Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. (Zobacz Standby Data Center for Disaster Recovery (Centrum danych w trybie gotowości do przywracania systemu po awarii).
-
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.
1 |
Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.
| ||
2 |
Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 |
Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.
| ||
4 |
Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 |
Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 |
W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 |
Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 |
Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 |
Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
Po skonfigurowaniu trybu pasywów
w pliku ISO i zapisaniu go można utworzyć inną kopię pliku ISO bez konfiguracji trybu pasywów
i zapisać go w bezpiecznej lokalizacji. Ta kopia pliku ISO bez skonfigurowanego trybu pasywówTryb
może pomóc w szybkim procesie awaryjnym podczas odzyskiwania awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).
Obsługa serwera proxy
Hybrid Data Security obsługuje jawne, przejrzyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy w węzłach można używać do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły Hybrid Data Security obsługują następujące opcje serwera proxy:
-
Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Aktualizacja certyfikatu nie jest wymagana.
-
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Aktualizacja certyfikatu nie jest wymagana.
-
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są wymagane żadne zmiany konfiguracji HTTP ani HTTPS. Jednak węzły potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).
-
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować jawny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
-
Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
-
Port serwera proxy — numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
-
Protokół proxy — w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
-
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
-
HTTPS — zapewnia kanał do serwera. Klient odbiera i sprawdza poprawność certyfikatu serwera.
-
-
Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
-
Brak — dalsze uwierzytelnianie nie jest wymagane.
Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
-
Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Używa kodowania Base64.
Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
-
Cyfra — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.
Opcja dostępna tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
-
-
Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy
Ten diagram przedstawia przykładowe połączenie między hybrid data security, siecią i serwerem proxy. W przypadku opcji przezroczystego serwera proxy inspekcji i jawnego sprawdzania HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach Hybrid Data Security.
Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)
Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. We wdrożeniach z jawnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzne rozpoznawanie DNS dla klientów wewnętrznych, jeśli węzeł nie może wysłać kwerendy do serwerów DNS, automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Wymagania dotyczące hybrydowego bezpieczeństwa danych
Wymagania licencyjne Cisco Webex
Aby wdrożyć hybrydowe zabezpieczenia danych:
-
Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub. (patrz https://www.cisco.com/go/pro-pack.)
Docker Wymagania pulpitowe
Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop.Your organization might require a paid subscription for Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis na blogu Platformy Docker " Docker aktualizuje i rozszerza nasze subskrypcje produktów".
Wymagania dotyczące certyfikatu X.509
Łańcuch certyfikatów musi spełniać następujące wymagania:
Wymaganie |
Szczegóły |
---|---|
|
Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs. |
|
CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej organizację, na przykład CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych. |
|
Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji. |
|
Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło. |
Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.
Wymagania dotyczące wirtualnego prowadzącego
Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:
-
Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
-
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.
Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
-
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer
Wymagania serwera bazy danych
Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych. |
Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:
PostgreSQL |
Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:
PostgreSQL |
Microsoft SQL Server |
---|---|
Postgres JDBC kierowca 42.2.5 |
SQL Server JDBC sterownik 4.6 Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups). |
Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server
Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:
-
Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
-
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
-
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
-
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.
Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu z uwierzytelnianiem Kerberos.
Wymagania dotyczące połączeń zewnętrznych
Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:
Aplikacja |
Protokół |
Port |
Polecenie z aplikacji |
Miejsce docelowe |
---|---|---|---|---|
Węzły hybrydowego zabezpieczenia danych |
TCP |
443 |
Zewnętrzne HTTPS i WSS |
|
Narzędzie do konfigurowania HDS |
TCP |
443 |
Zewnętrzny protokół HTTPS |
|
Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych. |
Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:
Region |
Wspólne adresy URL prowadzącego tożsamości |
---|---|
Ameryka |
|
Unia Europejska |
|
Kanada |
|
Wymagania dotyczące serwera proxy
-
Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Hybrid Data Security.
-
Przezroczysty serwer proxy — Cisco Web Security Appliance (WSA).
-
Jawny serwer proxy — Squid.
Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS mogą zakłócać tworzenie połączeń websocket (wss:). Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.
-
-
Obsługujemy następujące kombinacje typów uwierzytelniania dla jawnych serwerów proxy:
-
Brak uwierzytelniania za pomocą protokołu HTTP lub HTTPS
-
Uwierzytelnianie podstawowe za pomocą protokołu HTTP lub HTTPS
-
Uwierzytelnianie szyfrowane tylko przy użyciu protokołu HTTPS
-
-
W przypadku przezroczystego serwera proxy inspekcji lub jawnego serwera proxy HTTPS musisz mieć kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania w tym przewodniku informają, jak przekazać kopię do magazynów zaufania węzłów hybrid Data Security.
-
Sieć obsługująca węzły HDS musi być skonfigurowana tak, aby wymuszała kierowanie wychodzącego ruchu TCP na porcie 443 przez serwer proxy.
-
Serwery proxy, które sprawdzają ruch sieci web, mogą zakłócać połączenia gniazd internetowych. Jeśli ten problem wystąpi, ominięcie (nie inspekcja) ruchu do
wbx2.com
i ciscospark.comrozwiąże problem.
Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
1 |
Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta. | ||
2 |
Wybierz nazwę domeny dla wdrożenia HDS (na przykład | ||
3 |
Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta. | ||
4 |
Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami. | ||
5 |
W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. | ||
6 |
Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514). | ||
7 |
Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.
Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii. | ||
8 |
Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności. | ||
9 |
Zainstaluj Docker ( https://www.docker.com) na dowolnej lokalnej maszynie z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera. Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności. | ||
10 |
Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy. | ||
11 |
Jeśli organizacja korzysta z synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie
|
Hybrid Data Security Deployment Task Flow
Przed rozpoczęciem
1 |
Download the OVA file to your local machine for later use. | ||
2 |
Create a Configuration ISO for the HDS Hosts Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes. | ||
3 |
Create a virtual machine from the OVA file and perform initial configuration, such as network settings.
| ||
4 |
Set up the Hybrid Data Security VM Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment. | ||
5 |
Upload and Mount the HDS Configuration ISO Configure the VM from the ISO configuration file that you created with the HDS Setup Tool. | ||
6 |
Konfigurowanie węzła HDS do integracji z serwerem proxy If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed. | ||
7 |
Register the First Node in the Cluster Register the VM with the Cisco Webex cloud as a Hybrid Data Security node. | ||
8 |
Create and Register More Nodes Complete the cluster setup. | ||
9 |
Run a Trial and Move to Production (next chapter) Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated. |
Download Installation Files
1 |
Sign in to https://admin.webex.com, and then click Services. | ||||
2 |
In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up. If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.
| ||||
3 |
Select No to indicate that you haven’t set up the node yet, and then click Next. The OVA file automatically begins to download. Save the file to a location on your machine.
| ||||
4 |
Optionally, click Open Deployment Guide to check if there’s a later version of this guide available. |
Create a Configuration ISO for the HDS Hosts
The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.
Przed rozpoczęciem
-
Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora w organizacji.
If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
-
The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:
-
Database credentials
-
Certificate updates
-
Changes to authorization policy
-
-
If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.
1 |
W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: W środowiskach FedRAMP:
| ||||||||||||
2 |
Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: | ||||||||||||
3 |
Po wyświetleniu monitu o hasło wprowadź ten skrót: | ||||||||||||
4 |
Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: W środowiskach FedRAMP: | ||||||||||||
5 |
Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska:
Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. | ||||||||||||
6 |
Use a web browser to go to the localhost, The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt. | ||||||||||||
7 |
When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security. | ||||||||||||
8 |
On the Setup Tool overview page, click Get Started. | ||||||||||||
9 |
On the ISO Import page, you have these options:
| ||||||||||||
10 |
Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.
| ||||||||||||
11 |
Enter the database address and account for HDS to access your key datastore: | ||||||||||||
12 |
Select a TLS Database Connection Mode:
When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. Narzędzie weryfikuje również sygnatariusza certyfikatu i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.) | ||||||||||||
13 |
On the System Logs page, configure your Syslogd server: | ||||||||||||
14 |
(Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change: | ||||||||||||
15 |
Click Continue on the Reset Service Accounts Password screen. Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files. | ||||||||||||
16 |
Click Download ISO File. Save the file in a location that's easy to find. | ||||||||||||
17 |
Make a backup copy of the ISO file on your local system. Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes. | ||||||||||||
18 |
To shut down the Setup tool, type |
Co zrobić dalej
Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.
We never have a copy of this key and can't help if you lose it. |
Install the HDS Host OVA
1 |
Use the VMware vSphere client on your computer to log into the ESXi virtual host. | ||||||
2 |
Select File > Deploy OVF Template. | ||||||
3 |
In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next. | ||||||
4 |
On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next. | ||||||
5 |
On the Select a compute resource page, choose the destination compute resource, and then click Next. A validation check runs. After it finishes, the template details appear. | ||||||
6 |
Verify the template details and then click Next. | ||||||
7 |
If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next. | ||||||
8 |
On the Select storage page, click Next to accept the default disk format and VM storage policy. | ||||||
9 |
On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM. | ||||||
10 |
On the Customize template page, configure the following network settings:
If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.
| ||||||
11 |
Right-click the node VM, and then choose .The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node. Wskazówki dotyczące rozwiązywania problemów You may experience a delay of a few minutes before the node containers come up. A bridge firewall message appears on the console during first boot, during which you can't sign in. |
Set up the Hybrid Data Security VM
Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.
1 |
In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab. The VM boots up and a login prompt appears. If the login prompt does not display, press Enter.
|
2 |
Use the following default login and password to sign in and change the credentials: Since you are signing in to your VM for the first time, you are required to change the administrator password. |
3 |
If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option. |
4 |
Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported. |
5 |
(Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy. You do not need to set the domain to match the domain that you used to obtain the X.509 certificate. |
6 |
Save the network configuration and reboot the VM so that the changes take effect. |
Upload and Mount the HDS Configuration ISO
Przed rozpoczęciem
Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.
1 |
Upload the ISO file from your computer: |
2 |
Mount the ISO file: |
Co zrobić dalej
If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.
Konfigurowanie węzła HDS do integracji z serwerem proxy
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z hybrid Data Security. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy HTTPS, możesz użyć interfejsu węzła do przekazania i zainstalowania certyfikatu głównego. Możesz także sprawdzić połączenie proxy z poziomu interfejsu i rozwiązać wszelkie potencjalne problemy.
Przed rozpoczęciem
-
Zobacz Obsługa serwera proxy, aby zapoznać się z omówieniem obsługiwanych opcji serwera proxy.
1 |
Wprowadź adres URL konfiguracji węzła HDS |
2 |
Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję:
Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji, jawny serwer proxy HTTP z uwierzytelnianiem podstawowym lub jawny serwer proxy HTTPS. |
3 |
Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostkikońcowej , a następnie przejdź do wybierz certyfikat główny dla serwera proxy. Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ należy ponownie uruchomić węzeł, aby zainstalować certyfikat. Kliknij strzałkę cudzysłów ostrokątnych przy nazwie wystawcy certyfikatu, aby uzyskać więcej szczegółów, lub kliknij przycisk Usuń, jeśli popełnisz błąd i chcesz ponownie przesłać plik. |
4 |
Kliknij przycisk Sprawdź połączenie z serwerem proxy, aby przetestować łączność sieciową między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie może połączyć się z serwerem DNS. Ten warunek jest oczekiwany w wielu jawnych konfiguracjach proxy. You can continue with the setup, and the node will function in Blocked External DNS Resolution mode. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode. |
5 |
Po przejściu testu połączenia, dla jawnego serwera proxy ustawionego tylko na https, włącz przełącznik na Kieruj wszystkie żądania https portu 443/444 z tego węzła za pośrednictwem jawnego serwera proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone. |
6 |
Kliknij opcję Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się w przypadku jawnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawia się w przypadku jawnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe. Węzeł uruchomi się ponownie w ciągu kilku minut. |
7 |
Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym. Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Register the First Node in the Cluster
When you register your first node, you create a cluster to which the node is assigned. A cluster contains one or more nodes deployed to provide redundancy.
Przed rozpoczęciem
-
Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.
-
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.
1 |
Zaloguj się w https://admin.webex.com. |
2 |
From the menu on the left side of the screen, select Services. |
3 |
In the Hybrid Services section, find Hybrid Data Security and click Set up. The Register Hybrid Data Security Node page appears.
|
4 |
Select Yes to indicate that you have set up the node and are ready to register it, and then click Next. |
5 |
In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node. We recommend that you name a cluster based on where the nodes of the cluster are located geographically. Examples: "San Francisco" or "New York" or "Dallas" |
6 |
In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM. A message appears indicating you can register your node to the Webex.
|
7 |
Click Go to Node. |
8 |
Click Continue in the warning message. After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
|
9 |
Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
|
10 |
Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.
|
Create and Register More Nodes
At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center. |
Przed rozpoczęciem
-
Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.
-
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.
1 |
Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA. |
2 |
Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM. |
3 |
On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO. |
4 |
If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node. |
5 |
Register the node. Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.
|
Co zrobić dalej
Przepływ próby do zadania produkcyjnego
Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.
Przed rozpoczęciem
1 |
Jeśli dotyczy, zsynchronizuj obiekt grupowy Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, przed rozpoczęciem próby należy wybrać obiekt grupowy |
2 |
Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
3 |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych. |
4 |
Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów. |
5 | |
6 |
Zakończ fazę próbną, wykonując jedną z następujących czynności: |
Aktywuj wersję próbną
Przed rozpoczęciem
Jeśli Twoja organizacja używa synchronizacji katalogów dla użytkowników, przed rozpoczęciem próby w organizacji należy wybrać obiekt grupowy HdsTrialGroup
do synchronizacji z chmurą. Instrukcje można znaleźć w przewodniku wdrażania Cisco Directory Connector.
1 |
Zaloguj się do https://admin.webex.com, a następnie wybierz Usługi. |
2 |
W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 |
W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
|
4 |
Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych
Przed rozpoczęciem
-
Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
-
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
-
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
1 |
Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.
| ||
2 |
Wysyłaj wiadomości do nowego obszaru. | ||
3 |
Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych. |
Monitorowanie stanu hybrydowego bezpieczeństwa danych
1 |
W Control Hub wybierz Usługi z menu po lewej stronie ekranu. |
2 |
W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
|
3 |
W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter. |
Dodawanie lub usuwanie użytkowników z wersji próbnej
Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i kluczy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.
Jeśli Twoja organizacja używa synchronizacji katalogu, użyj Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup
; możesz wyświetlać członków grupy w Control Hub, ale nie możesz ich dodawać ani usuwać.
1 |
Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 |
W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 |
W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej. |
4 |
Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij przycisk Zapisz. |
Przeniesienie z wersji próbnej do produkcji
1 |
Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 |
W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 |
W sekcji Stan usługi kliknij opcję Przenieś do produkcji. |
4 |
Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji. |
Zakończ wersję próbną bez przejścia do produkcji
1 |
Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 |
W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 |
W sekcji Dezaktywuj kliknij przycisk Dezaktywuj. |
4 |
Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny. |
Zarządzanie wdrożeniem HDS
Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.
Ustaw harmonogram uaktualniania klastra
Aby ustawić harmonogram uaktualniania:
1 |
Zaloguj się do Centrum sterowania. |
2 |
Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security. |
3 |
Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster. |
4 |
W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra. |
5 |
Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż. |
Zmień konfigurację węzła
-
Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.
Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do rejestracji klastra.
-
Aktualizacja ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.
Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
-
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.
Ponadto ze względów bezpieczeństwa usługa Hybrid Data Security używa haseł do kont usług, które mają dziewięciomiesięczny okres użytkowania. Gdy narzędzie HdS Setup wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO. Gdy hasła Twojej organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex o zresetowaniu hasła do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj interfejsu API konta komputera, aby zaktualizować hasło”). Jeśli Twoje hasła jeszcze nie wygasły, narzędzie oferuje dwie opcje:
-
Delikatne resetowanie — stare i nowe hasła działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
-
Twarde resetowanie — stare hasła natychmiast przestają działać.
Jeśli hasła wygasną bez resetowania, ma to wpływ na usługę HDS, wymagając natychmiastowego twardego resetu i wymiany pliku ISO na wszystkich węzłach.
Użyj tej procedury, aby wygenerować nowy konfiguracyjny plik ISO i zastosować go do klastra.
Przed rozpoczęciem
-
Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora w organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://NAZWA UŻYTKOWNIKA:HASŁO@SERVER_IP:PORT
-
Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO. ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.
1 |
Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie HDS Setup Tool. |
2 |
Jeśli jest uruchomiony tylko jeden węzeł HDS, utwórz nowy węzeł hybrydowego zabezpieczenia danych VM i zarejestruj go przy użyciu nowego pliku ISO konfiguracji. Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów. |
3 |
W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO. Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: |
4 |
Powtórz krok 3, aby zastąpić konfigurację na każdym pozostałym węźle, na którym działa stara konfiguracja. |
Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS
Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, ponownie uruchamiając test połączenia proxy w każdym węźle.
Przed rozpoczęciem
1 |
W przeglądarce sieci Web otwórz interfejs węzła Hybrid Data Security (na przykład adres IP/konfiguracja https://192.0.2.0/setup), wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj. |
2 |
Przejdź do Przegląd (strona domyślna). Gdy ta opcja jest włączona, opcja Zablokowane zewnętrzne rozpoznawanie DNS jest ustawiona na Tak. |
3 |
Przejdź do strony Trust Store & Proxy. |
4 |
Kliknij przycisk Sprawdź połączenie proxy. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie mógł połączyć się z serwerem DNS i pozostanie w tym trybie. W przeciwnym razie, po ponownym uruchomieniu węzła i powrocie do strony Przegląd, Zablokowane zewnętrzne rozpoznawanie DNS powinno być ustawione na nie. |
Co dalej?
Usuń węzeł
1 |
Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną. |
2 |
Usuń węzeł: |
3 |
W kliencie vSphere usuń maszynę wirtualną. (W lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij przycisk Usuń.) Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa. |
Odzyskiwanie po awarii za pomocą Standby Data Center
Najbardziej krytyczną usługą oferowaną przez klaster hybrydowego bezpieczeństwa danych jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.
Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:
Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.
1 |
Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts. | ||
2 |
Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 |
Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń konfigurację
| ||
4 |
Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 |
Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 |
W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 |
Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 |
Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 |
Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS
Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.
Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.
Przed rozpoczęciem
Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.
1 |
Zamknij jeden z węzłów HDS. |
2 |
W urządzeniu VCenter Server Appliance wybierz węzeł HDS. |
3 |
Wybierz pliku Datastore ISO. i usuń zaznaczenie |
4 |
Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut. |
5 |
Powtórz kolejno dla każdego węzła HDS. |
Wyświetlanie alertów i rozwiązywania problemów
Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:
-
Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
-
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
-
Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
-
Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
-
-
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania
Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.
Alerty
Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.
Alert |
Czynność |
---|---|
Błąd dostępu do lokalnej bazy danych. |
Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną. |
Niepowodzenie połączenia z lokalną bazą danych. |
Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi. |
Niepowodzenie dostępu do usługi w chmurze. |
Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności. |
Odnowienie rejestracji usług w chmurze. |
Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji. |
Rejestracja usług w chmurze została odrzucona. |
Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona. |
Usługa jeszcze nie została aktywowana. |
Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji. |
Skonfigurowana domena nie odpowiada certyfikatowi serwera. |
Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji. |
Uwierzytelnianie usług w chmurze nie powiodło się. |
Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi. |
Nie można otworzyć lokalnego pliku keystore. |
Sprawdź integralność i dokładność hasła w lokalnym pliku keystore. |
Certyfikat lokalnego serwera jest nieprawidłowy. |
Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji. |
Nie można publikować metryk. |
Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze. |
/media/configdrive/hds katalog nie istnieje. |
Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany. |
Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
1 |
Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy. |
2 |
Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych. |
3 |
Skontaktuj się z pomocą techniczną Cisco. |
Znane problemy dotyczące hybrydowego bezpieczeństwa danych
-
Jeśli zamkniesz klaster hybrydowego bezpieczeństwa danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać z obszarów na liście osób utworzonych za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
-
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.
To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).
Użyj protokołu OpenSSL do generowania pliku PKCS12
Przed rozpoczęciem
-
OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, a my nie popieramy ani nie promujemy jednej drogi nad drugą.
-
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
-
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
-
Utwórz klucz prywatny.
-
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.
1 |
Po otrzymaniu certyfikatu serwera od urzędu certyfikacji zapisz go jako |
2 |
Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.
|
3 |
Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie
|
4 |
Utwórz plik .p12 za pomocą przyjaznej nazwy
|
5 |
Sprawdź szczegóły certyfikatu serwera. |
Co zrobić dalej
Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Plik hdsnode.p12
i ustawione dla niego hasło będą używane w Utwórz ISO konfiguracji hostów HDS.
Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu. |
Ruch między węzłami HDS a chmurą
Ruch zbierania metryk wychodzących
Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).
Ruch przychodzący
Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:
-
Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
-
Aktualizacja do oprogramowania węzła
Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych
Websocket nie może połączyć się przez Squid Proxy
Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą zakłócać tworzenie połączeń typu websocket (wss:
), których wymaga Hybrid Data Security. Te sekcje dają wskazówki, jak skonfigurować różne wersje Squid ignorować wss:
ruch w celu prawidłowego funkcjonowania usług.
Kalmary 4 i 5
Dodać on_unsupported_protocol
dyrektywę do squid.conf
:
on_unsupported_protocol tunel wszystkie
Kalmary 3.5.27
Z powodzeniem przetestowaliśmy Hybrid Data Security z następującymi regułami dodanymi do squid.conf
. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizowania chmury Webex.
acl wssMercuryConnection ssl::server_name_regex rtęciowe połączenie ssl_bump splice wssMercuryPołączenie acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump rzut oka krok1 wszystkie ssl_bump stare krok2 wszystkie ssl_bump bump krok3 wszystko
Nowe i zmienione informacje
Data | Zmiany | ||
---|---|---|---|
20 października 2023 r. |
| ||
07 sierpnia 2023 r. |
| ||
23 maja 2023 r. |
| ||
06 grudnia 2022 r. |
| ||
23 listopada 2022 r. |
| ||
13 października 2021 r. | Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker. | ||
24 czerwca 2021 r. | Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12. | ||
30 kwietnia 2021 r. | Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego. | ||
24 lutego 2021 r. | Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS. | ||
2 lutego 2021 r. | HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS. | ||
11 stycznia 2021 r. | Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS. | ||
13 października 2020 r. | Zaktualizowano Pobierz pliki instalacyjne. | ||
8 października 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP. | ||
14 sierpnia 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania. | ||
5 sierpnia 2020 r. | Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów. | ||
16 czerwca 2020 r. | Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub. | ||
4 czerwca 2020 r. | Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić. | ||
29 maja 2020 r. | Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami. | ||
5 maja 2020 r. | Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5. | ||
21 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas. | ||
1 kwietnia 2020 r. | Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI. | ||
20 lutego 2020 r. | Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS. | ||
4 lutego 2020 r. | Zaktualizowano wymagania serwera proxy. | ||
16 grudnia 2019 r. | Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy. | ||
19 listopada 2019 r. | Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach: | ||
8 listopada 2019 r. | Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje:
| ||
6 września 2019 r. | Dodano SQL Server Standard do wymagań serwera bazy danych. | ||
29 sierpnia 2019 r. | Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi. | ||
20 sierpnia 2019 r. | Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex. Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh . | ||
13 czerwca 2019 r. | Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu. | ||
6 marca 2019 r. |
| ||
28 lutego 2019 r. |
| ||
26 lutego 2019 r. |
| ||
24 stycznia 2019 r. |
| ||
5 listopada 2018 r. |
| ||
19 października 2018 r. |
| ||
31 lipca 2018 r. |
| ||
21 maja 2018 r. | Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:
| ||
11 kwietnia 2018 r. |
| ||
22 lutego 2018 r. |
| ||
Luty 15, 2018 |
| ||
Styczeń 18, 2018 |
| ||
2 listopada 2017 r. |
| ||
18 sierpnia 2017 r. | Pierwsza publikacja |
Przegląd zabezpieczeń danych hybrydowych
Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tego bezpieczeństwa jest kompleksowe szyfrowanie zawartości, włączone przez klientów aplikacji Webex współpracujących z usługą Key Management Service (KMS). KMS odpowiada za tworzenie i zarządzanie kluczami kryptograficznymi, których klienci używają do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików.
Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi KMS i inne funkcje związane z zabezpieczeniami do centrum danych przedsiębiorstwa, więc nikt oprócz Ciebie nie posiada kluczy do zaszyfrowanej zawartości.
Architektura domeny zabezpieczeń
Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.
Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.
Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:
Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.
Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.
Współpraca z innymi organizacjami
Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.
Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).
Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.
Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:
Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w punkcie Przygotowanie środowiska.
Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:
Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.
Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS. |
Proces konfiguracji na wysokim poziomie
Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:
Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.
Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.
Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.
Hybrydowy model wdrażania zabezpieczeń danych
W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.
Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).
Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).
Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.
Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.
Obsługujemy tylko jeden klaster na organizację.
Tryb próbny zabezpieczeń danych hybrydowych
Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.
Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.
Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.
Standby Data Center for Disaster Recovery
Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.
Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.
Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych. |
Konfiguracja Standby Data Center do odzyskiwania awarii
Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:
Przed rozpoczęciem
Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).
Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.
| ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
Po skonfigurowaniu passiveMode
w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode
konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode
skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).
Obsługa serwera proxy
Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejs administratora platformy w węzłach służy do zarządzania certyfikatami oraz do sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:
Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.
Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.
Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.
Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.
Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.
Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:
Brak — dalsze uwierzytelnianie nie jest wymagane.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.
Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.
Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy
Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.
Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Wymagania dotyczące hybrydowego bezpieczeństwa danych
Wymagania licencyjne Cisco Webex
Aby wdrożyć hybrydowe zabezpieczenia danych:
Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub (patrz https://www.cisco.com/go/pro-pack).
Docker Wymagania pulpitowe
Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji programu Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz post na blogu Docker, " Docker jest aktualizowanie i rozszerzanie naszych subskrypcji produktów".
Wymagania dotyczące certyfikatu X.509
Łańcuch certyfikatów musi spełniać następujące wymagania:
Wymaganie | Szczegóły |
---|---|
| Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs. |
| CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, CN nie może zawierać * (wildcard). CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych. |
| Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji. |
| Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło. |
Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.
Wymagania dotyczące wirtualnego prowadzącego
Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:
Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych
Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.
Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.
Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer
Wymagania serwera bazy danych
Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych. |
Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:
PostgreSQL | Microsoft SQL Server | ||
---|---|---|---|
|
| ||
Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) | Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci) |
Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:
PostgreSQL | Microsoft SQL Server |
---|---|
Postgres JDBC kierowca 42.2.5 | SQL Server JDBC sterownik 4.6 Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups). |
Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server
Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:
Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.
Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).
Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.
Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do skonstruowania SPN podczas żądania dostępu z uwierzytelnianiem Kerberos.
Wymagania dotyczące połączeń zewnętrznych
Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:
Aplikacja | Protokół | Port | Polecenie z aplikacji | Miejsce docelowe |
---|---|---|---|---|
Węzły hybrydowego zabezpieczenia danych | TCP | 443 | Zewnętrzne HTTPS i WSS |
|
Narzędzie do konfigurowania HDS | TCP | 443 | Zewnętrzny protokół HTTPS |
|
Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych. |
Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:
Region | Wspólne adresy URL prowadzącego tożsamości |
---|---|
Ameryka |
|
Unia Europejska |
|
Kanada |
|
Wymagania serwera proxy
Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.
Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).
Wyraźny serwer proxy — Squid.
Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.
Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:
Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS
Uwierzytelnianie przy użyciu protokołu HTTPS
W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.
Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.
Błędy kontrolne ruchu sieciowego mogą zakłócać połączenia z gniazdem sieciowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do
wbx2.com
iciscospark.com
rozwiąże problem.
Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
1 | Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta. | ||
2 | Wybierz nazwę domeny dla wdrożenia HDS (na przykład | ||
3 | Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta. | ||
4 | Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami. | ||
5 | W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. | ||
6 | Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514). | ||
7 | Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.
Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii. | ||
8 | Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności. | ||
9 | Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera. Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności. | ||
10 | Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy. | ||
11 | Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie
|
Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
Przed rozpoczęciem
1 |
Pobierz plik OVA do lokalnego komputera, aby później go użyć. | ||
2 | Tworzenie ISO konfiguracji dla prowadzących HDS Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych. | ||
3 |
Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.
| ||
4 | Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA. | ||
5 | Prześlij i zamontuj ISO konfiguracji HDS Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS. | ||
6 | Konfigurowanie węzła HDS dla integracji serwera proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania. | ||
7 | Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych. | ||
8 | Tworzenie i rejestrowanie większej liczby węzłów Zakończ konfigurację klastra. | ||
9 | Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział) Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
Pobierz pliki instalacyjne
1 | Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi. | ||||
2 | W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj. Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.
| ||||
3 | Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej. Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
| ||||
4 | Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika. |
Tworzenie ISO konfiguracji dla prowadzących HDS
Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.
Przed rozpoczęciem
Narzędzie HDS Setup działa jako kontener Docker na lokalnej maszynie. Aby uzyskać do niego dostęp, uruchom Docker na tej maszynie. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi prawami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera pewne możliwe zmienne środowiskowe:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:
Poświadczenia bazy danych
Aktualizacje certyfikatów
Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.
1 | W wierszu poleceń maszyny wprowadź odpowiednie polecenie dla środowiska: W normalnych warunkach:
W środowiskach FedRAMP:
| ||||||||||||
2 | Aby zalogować się do rejestru obrazów Docker, wprowadź następujące informacje:
| ||||||||||||
3 | Po wyświetleniu monitu o hasło wprowadź następujący tekst:
| ||||||||||||
4 | Pobierz najnowszy stabilny obraz środowiska: W normalnych warunkach:
W środowiskach FedRAMP:
| ||||||||||||
5 | Po zakończeniu ciągnięcia wprowadź odpowiednie polecenie dla środowiska:
Gdy kontener jest uruchomiony, widzisz "Serwer ekspresowy słuchający na porcie 8080". | ||||||||||||
6 |
Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie. | ||||||||||||
7 | Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security. | ||||||||||||
8 | Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij. | ||||||||||||
9 | Na stronie ISO Import dostępne są następujące opcje:
| ||||||||||||
10 | Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.
| ||||||||||||
11 | Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych: | ||||||||||||
12 | Wybierz tryb połączenia z bazą danych TLS:
Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. W stosownych przypadkach narzędzie weryfikuje również sygnaturę certyfikatu i nazwę hosta. Jeśli test nie powiedzie się, narzędzie wyświetli komunikat o błędzie opisujący problem. Można wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować). | ||||||||||||
13 | Na stronie Dzienniki systemu skonfiguruj serwer Syslogd: | ||||||||||||
14 | (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:
| ||||||||||||
15 | Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi . Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO. | ||||||||||||
16 | Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć. | ||||||||||||
17 17 17 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||||||||||||
18 | Aby zamknąć narzędzie konfiguracji, wpisz |
Co zrobić dalej
Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.
Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz. |
Instalowanie OVA hosta HDS
1 | Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze. | ||||||
2 | Wybierz Plik > Wdrożenie szablonu OVF. | ||||||
3 | W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny. | ||||||
4 | Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny. | ||||||
5 | Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny. Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu. | ||||||
6 | Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej. | ||||||
7 | Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny. | ||||||
8 | Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM. | ||||||
9 | Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną. | ||||||
10 | Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:
Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.
| ||||||
11 | Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz .Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować. |
Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych
Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.
1 | W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console . Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
|
2 | Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła: Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora. |
3 | Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację. |
4 | Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany. |
5 | (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci. Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509. |
6 | Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie. |
Prześlij i zamontuj ISO konfiguracji HDS
Przed rozpoczęciem
Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.
1 | Prześlij plik ISO z komputera: |
2 | Montaż pliku ISO: |
Co zrobić dalej
Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.
Konfigurowanie węzła HDS dla integracji serwera proxy
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.
Przed rozpoczęciem
Aby zapoznać się z opcjami obsługiwanego serwera proxy, zobacz Obsługa serwera proxy.
1 | Wprowadź adres URL konfiguracji węzła HDS |
2 | Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:
Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS. |
3 | Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy. Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik. |
4 | Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS. |
5 | Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania. |
6 | Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy. Węzeł zostanie uruchomiony ponownie w ciągu kilku minut. |
7 | Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status. Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Zarejestruj pierwszy węzeł w klastrze
Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Zaloguj się w https://admin.webex.com. |
2 | W menu po lewej stronie ekranu wybierz opcję Usługi. |
3 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj. Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
|
4 | Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej. |
5 | W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych. Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas" |
6 | W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych. Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
|
7 | Kliknij przycisk Przejdź do węzła. |
8 | Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
|
9 | Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
|
10 | Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub. Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.
|
Tworzenie i rejestrowanie większej liczby węzłów
W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center. |
Przed rozpoczęciem
Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.
1 | Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalowaniu OVA hosta HDS. |
2 | Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych. |
3 | W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS. |
4 | Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła. |
5 | Zarejestruj węzeł. Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.
|
Co zrobić dalej
Przepływ próby do zadania produkcyjnego
Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.
Przed rozpoczęciem
1 | Jeśli dotyczy, zsynchronizuj Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać |
2 |
Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana. |
3 | Przetestuj wdrożenie hybrydowego zabezpieczenia danych Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych. |
4 | Monitorowanie stanu hybrydowego bezpieczeństwa danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów. |
5 | |
6 | Zakończ fazę próbną, wykonując jedną z następujących czynności: |
Aktywuj wersję próbną
Przed rozpoczęciem
Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup
obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.
1 | Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną. Stan usługi zmienia się w tryb próbny.
|
4 | Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług. (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, |
Przetestuj wdrożenie hybrydowego zabezpieczenia danych
Przed rozpoczęciem
Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.
1 | Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.
| ||
2 | Wysyłaj wiadomości do nowego obszaru. | ||
3 | Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych. |
Monitorowanie stanu hybrydowego bezpieczeństwa danych
1 | W Control Hub wybierz Usługi z menu po lewej stronie ekranu. |
2 | W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia. Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
|
3 | W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter. |
Dodawanie lub usuwanie użytkowników z wersji próbnej
Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.
Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup
; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej. |
4 | Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij przycisk Zapisz. |
Przeniesienie z wersji próbnej do produkcji
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Stan usługi kliknij opcję Przenieś do produkcji. |
4 | Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji. |
Zakończ wersję próbną bez przejścia do produkcji
1 | Zaloguj się do Control Hub, a następnie wybierz Usługi. |
2 | W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia. |
3 | W sekcji Dezaktywuj kliknij przycisk Dezaktywuj. |
4 | Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny. |
Zarządzanie wdrożeniem HDS
Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.
Ustaw harmonogram uaktualniania klastra
Aby ustawić harmonogram uaktualniania:
1 | Zaloguj się do Control Hub. |
2 | Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security. |
3 | Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster. |
4 | W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra. |
5 | Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż. |
Zmień konfigurację węzła
Zmiana certyfikatów x.509 z powodu wygaśnięcia lub innych przyczyn.
Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną używaną do rejestracji klastra.
Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.
Nie obsługujemy migracji danych z programu PostgreSQL do programu Microsoft SQL Server ani odwrotnie. Aby zmienić środowisko bazy danych, rozpocznij nowe wdrożenie hybrydowego zabezpieczenia danych.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.
Ponadto, ze względów bezpieczeństwa, hybrydowe zabezpieczenia danych używają haseł konta usługi, które mają dziewięciomiesięczną żywotność. Po wygenerowaniu tych haseł przez narzędzie konfiguracji HDS są one wdrażane do każdego węzła HDS w pliku konfiguracyjnym ISO. Gdy hasła Twojej organizacji zbliżają się do wygaśnięcia, otrzymasz od zespołu Webex powiadomienie o konieczności zresetowania hasła do Twojego konta maszyny. (Wiadomość e-mail zawiera tekst „Użyj interfejsu API konta maszynowego, aby zaktualizować hasło.”) Jeśli Twoje hasła jeszcze nie wygasły, narzędzie daje dwie opcje:
Delikatne resetowanie — stare i nowe hasła działają przez maksymalnie 10 dni. Ten okres służy do stopniowego zastępowania pliku ISO w węzłach.
Twardy reset— stare hasła przestają działać natychmiast.
Jeśli Twoje hasła wygasną bez zresetowania, ma to wpływ na usługę HDS, wymagającą natychmiastowego, twardego zresetowania i wymiany pliku ISO na wszystkich węzłach.
Użyj tej procedury, aby wygenerować nowy plik ISO konfiguracji i zastosować go do klastra.
Przed rozpoczęciem
Narzędzie HDS Setup działa jako kontener Docker na lokalnej maszynie. Aby uzyskać do niego dostęp, uruchom Docker na tej maszynie. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi prawami administratora dla Twojej organizacji.
Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. Ta tabela zawiera pewne możliwe zmienne środowiskowe:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego pliku ISO konfiguracji. ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Podczas wprowadzania zmian w konfiguracji wymagany jest certyfikat ISO, w tym poświadczenia bazy danych, aktualizacje certyfikatów lub zmiany zasad autoryzacji.
1 | Korzystając z programu Docker na maszynie lokalnej, uruchom narzędzie konfiguracji HDS. |
2 | Jeśli jest uruchomiony tylko jeden węzeł HDS, utwórz nowy węzeł hybrydowego zabezpieczenia danych VM i zarejestruj go przy użyciu nowego pliku ISO konfiguracji. Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów. |
3 | W przypadku istniejących węzłów HDS z starszym plikiem konfiguracyjnym zamontuj plik ISO. Wykonaj następującą procedurę na każdym węźle z kolei, aktualizując każdy węzeł przed wyłączeniem kolejnego węzła: |
4 | Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle z uruchomioną starą konfiguracją. |
Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS
Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.
Przed rozpoczęciem
1 | W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się. |
2 | Przejdź do Przegląd (strona domyślna). Po włączeniu tej opcji Zablokowana zewnętrzna rozdzielczość DNS jest ustawiona na Tak. |
3 | Przejdź do strony Trust Store & Proxy. |
4 | Kliknij przycisk Sprawdź połączenie z serwerem proxy. Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr. |
Co zrobić dalej
Usuń węzeł
1 | Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną. |
2 | Usuń węzeł: |
3 | W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń). Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa. |
Odzyskiwanie po awarii za pomocą Standby Data Center
Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.
Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:
Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.
1 | Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts. | ||
2 | Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane | ||
3 | Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń
| ||
4 | Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia. | ||
5 | Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji. | ||
6 | W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.. | ||
7 | Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.
| ||
8 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. | ||
9 | Powtórz proces dla każdego węzła w centrum danych standby.
|
Co zrobić dalej
(Opcjonalnie) Odmontować ISO Po Konfiguracji HDS
Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.
Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.
Przed rozpoczęciem
Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.
1 | Zamknij jeden z węzłów HDS. |
2 | W urządzeniu VCenter Server Appliance wybierz węzeł HDS. |
3 | Wybierz pliku Datastore ISO. i usuń zaznaczenie |
4 | Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut. |
5 | Powtórz kolejno dla każdego węzła HDS. |
Wyświetlanie alertów i rozwiązywania problemów
Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:
Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie można odszyfrować dla:
Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania
Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.
Alerty
Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.
Alert | Czynność |
---|---|
Niepowodzenie dostępu do lokalnej bazy danych. |
Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną. |
Niepowodzenie połączenia z lokalną bazą danych. |
Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi. |
Niepowodzenie dostępu do usługi w chmurze. |
Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności. |
Odnowienie rejestracji usług w chmurze. |
Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji. |
Rejestracja usług w chmurze została odrzucona. |
Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona. |
Usługa jeszcze nie została aktywowana. |
Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji. |
Skonfigurowana domena nie odpowiada certyfikatowi serwera. |
Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji. |
Nie można uwierzytelnić usług w chmurze. |
Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi. |
Nie można otworzyć lokalnego pliku keystore. |
Sprawdź integralność i dokładność hasła w lokalnym pliku keystore. |
Certyfikat lokalnego serwera jest nieprawidłowy. |
Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji. |
Nie można publikować metryk. |
Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze. |
/media/configdrive/hds katalog nie istnieje. |
Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany. |
Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
1 | Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy. |
2 | Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych. |
3 | Skontaktuj się z pomocą techniczną Cisco. |
Znane problemy dotyczące hybrydowych zabezpieczeń danych
Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.
Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.
To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy niedoświadczeni użytkownicy z istniejącymi połączeniami ECDH z poprzednimi usługami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).
Użyj protokołu OpenSSL, aby wygenerować plik PKCS12
Przed rozpoczęciem
OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, a my nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.
Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.
Utwórz klucz prywatny.
Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.
1 | Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako |
2 | Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.
|
3 | Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie
|
4 | Utwórz plik .p12 o przyjaznej nazwie
|
5 | Sprawdź szczegóły certyfikatu serwera. |
Co zrobić dalej
Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12
plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.
Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu. |
Ruch między węzłami HDS a chmurą
Ruch zbierania metryk wychodzących
Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).
Ruch przychodzący
Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:
Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Aktualizacja do oprogramowania węzła
Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych
Websocket Nie Można Połączyć Za Pomocą Proxy Squid
Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:
) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss:
ruch w celu prawidłowego funkcjonowania usług.
Squid 4 i 5
Dodaj on_unsupported_protocol
dyrektywa do squid.conf
:
on_unsupported_protocol tunnel all
Squid 3.5.27
Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf
. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.
acl wssMercuryConnection ssl::server_name_regex mercury-connection
ssl_bump splice wssMercuryConnection
acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
Przedmowa
Nowe i zmienione informacje
Data |
Wprowadzone zmiany |
---|---|
20 października 2023 r. |
|
07 sierpnia 2023 r. |
|
23 maja 2023 r. |
|
6 grudnia 2022 r. |
|
23 listopada 2022 r. |
|
13 października, 2021 |
Przed zainstalowaniem węzłów HDS program konfiguracyjny musi zostać uruchomiony. Zobacz Wymagania dotyczące pulpitu Docker. |
Czerwiec 24, 2021 |
Zwrócono uwagę, że możesz ponownie użyć pliku klucza prywatnego i żądania CSR, aby zażądać innego certyfikatu. Szczegółowe informacje zawiera temat Używanie OpenSSL do generowania pliku PKCS12 . |
30 kwietnia 2021 r. |
Zmieniono wymaganie maszyn wirtualnych dotyczące lokalnego dysku twardego na 30 GB. Szczegółowe informacje zawiera temat Wymagania dotyczące hosta wirtualnego . |
24 lutego, 2021 |
Narzędzie konfiguracji usług HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie certyfikatu ISO konfiguracji dla hostów HDS . |
2 lutego 2021 r |
Obecnie system HDS może działać bez zamontowanego pliku ISO. Szczegółowe informacje zawiera temat (Opcjonalnie) Odmontowywanie certyfikatu ISO po konfiguracji HDS . |
11 stycznia 2021 r. |
Dodano informacje o narzędziu konfiguracji HDS i serwerach proxy w celu utworzenia certyfikatu ISO konfiguracji dla hostów HDS. |
13 października, 2020 |
Zaktualizowano plik Pobierz pliki instalacyjne. |
8 października 2020 r. |
Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS i Zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP. |
14 sierpnia, 2020 |
Zaktualizowano tematy Utwórz ISO konfiguracji dla hostów HDS i Zmień konfigurację węzła ze zmianami w procesie logowania. |
5 sierpnia 2020 r. |
Zaktualizowano artykuł Przetestuj wdrożenie usługi hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika. Zaktualizowano wymagania dotyczące hosta wirtualnego , aby usunąć maksymalną liczbę hostów. |
16 czerwca 2020 r. |
Zaktualizowano opcję Usuń węzeł ze względu na zmiany w interfejsie użytkownika Control Hub. |
4 czerwca 2020 r. |
Zaktualizowano temat Utwórz ISO konfiguracji dla hostów HDS dla zmian w ustawieniach zaawansowanych, które można ustawić. |
29 maja 2020 r. |
Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami w interfejsie użytkownika i innymi wyjaśnieniami. |
5 maja 2020 r. |
Zaktualizowano wymagania dotyczące hosta wirtualnego , aby wyświetlić nowy wymóg ESXi 6.5. |
21 kwietnia 2020 r. |
Zaktualizowano wymagania dotyczące łączności zewnętrznej o nowe hosty CI dla obu Ameryk. |
1 kwietnia 2020 r. |
Zaktualizowano wymagania dotyczące łączności zewnętrznej o informacje o regionalnych hostach CI. |
20 lutego, 2020 | Zaktualizowano temat Utwórz ISO konfiguracji dla hostów HDS z informacjami o nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu konfiguracji HDS. |
12 lutego 2020 r. | Zaktualizowano wymagania serwera proxy. |
16 grudnia 2019 r. | Wyjaśniono wymóg działania zablokowanego zewnętrznego trybu rozdzielczości DNS w wymaganiach serwera proxy. |
19 listopada, 2019 |
Dodano informacje o zablokowanym zewnętrznym trybie rozdzielczości DNS w następujących sekcjach: |
8 listopada, 2019 |
Teraz można skonfigurować ustawienia sieciowe dla węzła podczas wdrażania OVA, a nie później. Zaktualizowano odpowiednio następujące sekcje: Opcja konfiguracji ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi w wersji 6.5. Opcja może być niedostępna we wcześniejszych wersjach. |
Wrzesień 6, 2019 |
Dodano SQL Server Standard do wymagań serwera bazy danych. |
29 sierpnia 2019 r. | Dodano dodatek Konfiguracja serwerów proxy Squid dla hybrydowego zabezpieczenia danych z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu ignorowania ruchu WebSocket dla prawidłowej pracy. |
Sierpień 20, 2019 |
Dodano i zaktualizowano sekcje dotyczące obsługi serwera proxy dla komunikacji węzła usługi hybrydowego zabezpieczenia danych z chmurą Webex. Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł Obsługa serwera proxy dla hybrydowego zabezpieczenia danych i siatki wideo Webex . |
13 czerwca 2019 r. | Zaktualizowano Przepływ zadań w wersji próbnej z przypomnieniem o zsynchronizowaniu obiektu grupy HdsTrialGroup przed rozpoczęciem wersji próbnej, jeśli Twoja organizacja korzysta z synchronizacji katalogów. |
6 marca 2019 r. |
|
28 lutego 2019 r. |
|
26 lutego 2019 r. |
|
Styczeń 24, 2019 |
|
5 listopada 2018 r. |
|
19 października 2018 r. |
|
31 lipca 2018 r. |
|
21 maja 2018 r. |
Zmieniono terminologię w celu odzwierciedlenia rebrandingu aplikacji Cisco Spark:
|
11 kwietnia 2018 r. |
|
Luty 22, 2018 |
|
Luty 15, 2018 |
|
Styczeń 18, 2018 |
|
2 listopada 2017 r. |
|
18 sierpnia 2017 r. |
Opublikowano po raz pierwszy |
Wprowadzenie do usługi hybrydowego zabezpieczenia danych
Omówienie hybrydowego zabezpieczenia danych
Od pierwszego dnia bezpieczeństwo danych było głównym celem podczas projektowania aplikacji Webex. Podstawą tego zabezpieczenia jest kompleksowe szyfrowanie treści, które umożliwiają klienci aplikacji Webex współpracujący z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.
Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS, w sferze bezpieczeństwa Cisco. Hybrid Data Security przenosi KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie posiada kluczy do zaszyfrowanej zawartości.
Architektura Security Realm
Architektura chmury Webex dzieli różne typy usług na oddzielne domeny lub domeny zaufania, jak pokazano poniżej.
Aby lepiej zrozumieć usługę hybrydowego zabezpieczenia danych, przyjrzyjmy się najpierw tej czystej chmurze, w której firma Cisco udostępnia wszystkie funkcje w swoich domenach chmury. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani z ich danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od obszaru bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od obszaru, w którym docelowo przechowywana jest zaszyfrowana zawartość, w centrum danych C.
Na tym schemacie klient jest aplikacją Webex działającą na laptopie użytkownika i uwierzytelnił się w usłudze tożsamości. Gdy użytkownik tworzy wiadomość do wysłania do obszaru, wykonują następujące czynności:
-
Klient nawiązuje bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie żąda klucza w celu zaszyfrowania wiadomości. Bezpieczne połączenie korzysta z protokołu ECDH, a serwer KMS szyfruje klucz przy użyciu klucza głównego AES-256.
-
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła je do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniu zawartości.
-
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
-
Zaszyfrowana wiadomość jest przechowywana w obszarze miejsca do przechowywania.
Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze tworzące usługę Webex (w tym tożsamość i miejsce do przechowywania zawartości) pozostają w domenach Cisco.
Współpraca z innymi organizacjami
Użytkownicy w Twojej organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników poprosi o klucz obszaru należącego do Twojej organizacji (ponieważ został on utworzony przez jednego z użytkowników), serwer KMS wysyła klucz do klienta przez kanał zabezpieczony ECDH. Jeśli jednak inna organizacja jest właścicielem klucza obszaru, serwer KMS kieruje żądanie do chmury Webex przez oddzielny kanał ECDH, aby pobrać klucz z odpowiedniego serwera KMS, a następnie zwraca klucz do użytkownika w oryginalnym kanale.
Usługa KMS działająca w organizacji A sprawdza poprawność połączeń z urządzeniami KMS w innych organizacjach przy użyciu certyfikatów x.509 PKI. Zobacz Przygotowanie środowiska , aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użycia z wdrożeniem usługi hybrydowego zabezpieczenia danych.
Oczekiwania dotyczące wdrożenia hybrydowego zabezpieczenia danych
Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klientów i świadomości zagrożeń związanych z posiadaniem kluczy szyfrowania.
Aby wdrożyć usługę hybrydowego zabezpieczenia danych, należy zapewnić:
-
Bezpieczne centrum danych w kraju, które jest obsługiwaną lokalizacją planów Cisco Webex Teams.
Całkowita utrata albo konfiguracji ISO tworzonej dla usługi hybrydowego zabezpieczenia danych, albo dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. W takim przypadku można zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:
-
Zarządzanie kopiowaniem i odzyskiwaniem bazy danych oraz certyfikatem ISO konfiguracji.
-
Przygotuj się do szybkiego odzyskiwania po awarii w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub katastrofa centrum danych.
Nie ma mechanizmu, by przenieść klucze z powrotem do chmury po wdrożeniu HDS.
Proces konfiguracji wysokiego poziomu
Ten dokument dotyczy konfigurowania i zarządzania wdrożeniem usługi hybrydowego zabezpieczenia danych:
Skonfiguruj usługę hybrydowego zabezpieczenia danych — obejmuje przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania usługi hybrydowego zabezpieczenia danych, testowanie wdrożenia na podzbiorze użytkowników w trybie próbnym oraz po zakończeniu testów przejście do trybu produkcyjnego. Spowoduje to przekonwertowanie całej organizacji na używanie klastra hybrydowego zabezpieczenia danych do obsługi funkcji zabezpieczeń.
Etapy konfiguracji, testowania i produkcji zostaną szczegółowo omówione w kolejnych trzech rozdziałach.
-
Kontynuuj wdrożenie usługi hybrydowego zabezpieczenia danych — chmura Webex automatycznie zapewnia ciągłe aktualizacje. Dział IT może zapewnić wsparcie Tier One dla tego wdrożenia i w razie potrzeby zaangażować wsparcie Cisco. Możesz korzystać z powiadomień na ekranie i skonfigurować alerty e-mail w Control Hub.
-
Zrozumienie popularnych alertów, czynności rozwiązywania problemów i znanych problemów — w przypadku wystąpienia problemów ze wdrażaniem lub korzystaniem z usługi hybrydowego zabezpieczenia danych ostatni rozdział tego przewodnika i załącznik do znanych problemów mogą pomóc w ustaleniu i usunięciu problemu.
Model wdrażania hybrydowego zabezpieczenia danych
W korporacyjnym centrum danych wdrożysz hybrydowe zabezpieczenia danych jako pojedynczy klaster węzłów na osobnych wirtualnych hostach. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych gniazd WebSockets i bezpiecznego HTTP.
Podczas procesu instalacji udostępniamy plik OVA, aby skonfigurować urządzenie wirtualne na maszynach wirtualnych, które udostępniasz. Za pomocą narzędzia konfiguracji usługi HDS można utworzyć niestandardowy plik ISO konfiguracji klastra, który montujesz na każdym węźle. Klaster usługi hybrydowego zabezpieczenia danych korzysta z dostarczonego serwera Syslogd oraz bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować za pomocą narzędzia konfiguracji HDS).
Minimalna liczba węzłów, które można mieć w klastrze, wynosi dwa. Zalecamy co najmniej trzy klastry. Posiadanie wielu węzłów gwarantuje, że usługa nie zostanie przerwana podczas aktualizacji oprogramowania lub innej konserwacji w węźle. (Chmura Webex uaktualnia tylko jeden węzeł naraz).
Wszystkie węzły w klastrze uzyskują dostęp do tego samego magazynu danych klucza oraz do tego samego serwera dziennika systemowego. Same węzły są bezstanowe i obsługują żądania kluczy w sposób zaokrąglony, zgodnie z kierunkiem chmury.
Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby wyłączyć pojedynczy węzeł, można go wyrejestrować, a w razie potrzeby ponownie go zarejestrować.
Obsługujemy tylko jeden klaster w organizacji.
Tryb próbny hybrydowego zabezpieczenia danych
Po skonfigurowaniu wdrożenia usługi hybrydowego zabezpieczenia danych wypróbuj je najpierw z grupą użytkowników pilotażowych. W okresie próbnym użytkownicy ci korzystają z lokalnej domeny usługi hybrydowego zabezpieczenia danych do korzystania z kluczy szyfrowania i innych usług związanych z zabezpieczeniami. Twoi inni użytkownicy nadal korzystają z domeny bezpieczeństwa w chmurze.
Jeśli zdecydujesz się nie kontynuować wdrażania w okresie próbnym i dezaktywować usługę, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zobaczą oni „Nie można odszyfrować tej wiadomości” w aplikacji Webex.
Jeśli uważasz, że wdrożenie działa dobrze na potrzeby użytkowników wersji próbnej, i możesz rozszerzyć usługę hybrydowego zabezpieczenia danych na wszystkich użytkowników, możesz przenieść to wdrożenie do wersji produkcyjnej. Użytkownicy pilota nadal mają dostęp do kluczy, które były używane w okresie próbnym. Nie można jednak przechodzić między trybem produkcyjnym a oryginalną wersją próbną. Jeśli konieczne jest dezaktywowanie usługi, na przykład przywracanie po awarii, po ponownej aktywacji należy rozpocząć nową wersję próbną i skonfigurować grupę użytkowników pilotażowych do nowej wersji próbnej przed powrotem do trybu produkcyjnego. To, czy użytkownicy zachowają w tym momencie dostęp do danych, zależy od tego, czy pomyślnie zachowano kopie zapasowe magazynu danych kluczowych i pliku konfiguracyjnego ISO węzłów usługi hybrydowego zabezpieczenia danych w klastrze.
Centrum danych w trybie gotowości do odzyskiwania po awarii
Podczas wdrażania konfigurujesz bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie wykonać wdrożenie do centrum danych w trybie gotowości.
Bazy danych aktywnych i rezerwowych centrów danych są ze sobą synchronizowane, co minimalizuje czas potrzebny na wykonanie przełączania awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają, że węzły są zarejestrowane w organizacji, ale nie obsługują ruchu. Dlatego węzły centrum danych w trybie gotowości są zawsze aktualne dzięki najnowszej wersji oprogramowania HDS.
Aktywne węzły usługi hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.
Konfigurowanie centrum danych w trybie gotowości na potrzeby odzyskiwania po awarii
Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:
Przed rozpoczęciem
-
Centrum danych w trybie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych i zapasowej bazy danych PostgreSQL lub Microsoft SQL Server. Jeśli na przykład w produkcji są 3 maszyny wirtualne z węzłami HDS, środowisko kopii zapasowej powinno zawierać 3 maszyny wirtualne. (Przegląd tego modelu przełączania awaryjnego można znaleźć w sekcji Centrum danych trybu gotowości do odzyskiwania po awarii ).
-
Upewnij się, że synchronizacja bazy danych między bazą danych aktywnych i pasywnych węzłów klastra jest włączona.
1 |
Uruchom narzędzie konfiguracji HDS i wykonaj czynności wymienione w części Utwórz konfigurację ISO dla hostów HDS. Plik ISO musi być kopią oryginalnego pliku ISO głównego centrum danych, w którym mają być przeprowadzane następujące aktualizacje konfiguracji. |
2 |
Po skonfigurowaniu serwera Syslogd kliknij opcję Ustawienia zaawansowane |
3 |
Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwać żadnego ruchu.
|
4 |
Zakończ proces konfiguracji i zapisz plik ISO w łatwym do znalezienia miejscu. |
5 |
Utwórz kopię zapasową pliku ISO w lokalnym systemie. Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji. |
6 |
W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy urządzenie wirtualne i kliknij opcję Edytuj ustawienia. |
7 |
Kliknij Edytuj ustawienia >Dysk CD/DVD 1 i wybierz Plik ISO magazynu danych. Upewnij się, że opcje Połączono i Połącz po włączeniu zasilania są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły zostać zastosowane po uruchomieniu węzłów. |
8 |
Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. |
9 |
Powtórz ten proces dla każdego węzła w centrum danych w trybie gotowości. Sprawdź dzienniki systemowe, aby sprawdzić, czy węzły znajdują się w trybie pasywnym. W dziennikach systemowych powinien być wyświetlany komunikat „KMS skonfigurowany w trybie pasywnym”. |
Co zrobić dalej
Po skonfigurowaniu passiveMode
w pliku ISO i zapisaniu go, można utworzyć inną kopię pliku ISO bez konfiguracji passiveMode
i zapisać go w bezpiecznym miejscu. Ta kopia pliku ISO bez skonfigurowanego trybu passiveMode
może pomóc w szybkim przełączeniu awaryjnym podczas odzyskiwania po awarii. Szczegółowa procedura przełączania awaryjnego zawiera temat Odzyskiwanie po awarii przy użyciu centrum danych w trybie gotowości .
Obsługa serwera proxy
Hybrid Data Security obsługuje jawne, przejrzyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy w węzłach można używać do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.
Węzły Hybrid Data Security obsługują następujące opcje serwera proxy:
-
Brak serwera proxy — domyślnie, jeśli do zintegrowania serwera proxy nie używasz konfiguracji węzła HDS usługi Trust Store i proxy. Aktualizacja certyfikatu nie jest wymagana.
-
Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana.
-
Przezroczyste tunelowanie lub inspekcja serwera proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W węzłach nie są wymagane żadne zmiany konfiguracji HTTP ani HTTPS. Jednak węzły potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).
-
Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać węzłom HDS, którego serwera proxy i schematu uwierzytelniania mają używać. Aby skonfigurować jawny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
-
Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy.
-
Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy.
-
Protokół proxy — w zależności od tego, jakie obsługuje serwer proxy, wybierz jeden z następujących protokołów:
-
HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
-
HTTPS — zapewnia kanał do serwera. Klient odbiera i sprawdza poprawność certyfikatu serwera.
-
-
Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania:
-
Brak — dalsze uwierzytelnianie nie jest wymagane.
Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
-
Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64.
Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
-
Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.
Opcja dostępna tylko po wybraniu protokołu HTTPS jako protokołu proxy.
Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
-
-
Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy
Ten diagram przedstawia przykładowe połączenie między hybrid data security, siecią i serwerem proxy. W przypadku opcji przezroczystego serwera proxy inspekcji i jawnego sprawdzania HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach Hybrid Data Security.
Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)
Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. We wdrożeniach z jawnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzne rozpoznawanie DNS dla klientów wewnętrznych, jeśli węzeł nie może wysłać kwerendy do serwerów DNS, automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.
Przygotuj swoje środowisko
Wymagania dotyczące usługi hybrydowego zabezpieczenia danych
Wymagania licencyjne usługi Cisco Webex
Aby wdrożyć usługę hybrydowego zabezpieczenia danych:
-
Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub. (Patrz https://www.cisco.com/go/pro-pack.)
Wymagania pulpitu Docker
Przed zainstalowaniem węzłów HDS należy uruchomić program konfiguracyjny programu Docker Desktop. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop.Your organization might require a paid subscription for Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis na blogu Platformy Docker " Docker aktualizuje i rozszerza nasze subskrypcje produktów".
Wymagania certyfikatu X.509
Łańcuch certyfikatów musi spełniać następujące wymagania:
Wymaganie |
Szczegóły |
---|---|
|
Domyślnie ufamy urzędom certyfikacji na liście Mozilli (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs. |
|
Numer CN nie musi być dostępny ani być prowadzącym na żywo. Zalecamy używanie nazwy odzwierciedlającej organizację, na przykład CN nie może zawierać znaku * (symbolu wieloznacznego). Kod CN służy do weryfikowania węzłów usługi hybrydowego zabezpieczenia danych w klientach aplikacji Webex. Wszystkie węzły usługi hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. Serwer KMS identyfikuje się używając domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie jest obsługiwana zmiana nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych. |
|
Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu walidacji połączeń z modułami KMS innych organizacji. |
|
Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Hasło trzeba będzie wprowadzić podczas uruchamiania narzędzia konfiguracji usług HDS. |
Oprogramowanie KMS nie wymuszało użycia kluczy ani rozszerzonych ograniczeń użycia kluczy. Niektóre urzędy certyfikacji wymagają, aby do każdego certyfikatu miały zastosowanie rozszerzone ograniczenia użycia klucza, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.
Wymagania dotyczące hosta wirtualnego
Hosty wirtualne, które skonfigurujesz jako węzły usługi hybrydowego zabezpieczenia danych w klastrze, mają następujące wymagania:
-
Co najmniej dwa oddzielne hosty (zalecane 3) rozmieszczone w tym samym bezpiecznym centrum danych
-
Zainstalowano i uruchomiono aplikację VMware ESXi 6.5 (lub nowszą).
Jeśli masz starszą wersję oprogramowania ESXi, musisz ją uaktualnić.
-
Co najmniej 4 procesory vCPU, 8 GB pamięci głównej, 30 GB miejsca na lokalny dysk twardy na serwer
Wymagania serwera bazy danych
Utwórz nową bazę danych do przechowywania kluczy. Nie należy używać domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.
Serwer bazy danych ma dwie opcje. Wymagania dotyczące każdego z nich są następujące:
PostgreSQL-a |
Serwer Microsoft SQL |
---|---|
|
|
Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania) |
Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania) |
Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:
PostgreSQL-a |
Serwer Microsoft SQL |
---|---|
Postgres JDBC sterownik 42.2.5 |
Sterownik SQL Server JDBC 4.6 Ta wersja sterownika obsługuje funkcję SQL Server Always On (zawsze włączone wystąpienia klastra przełączenia awaryjnego i zawsze włączone grupy dostępności). |
Dodatkowe wymagania dotyczące uwierzytelniania w systemie Windows przy użyciu programu Microsoft SQL Server
Jeśli chcesz, aby węzły HDS korzystały z uwierzytelniania w systemie Windows w celu uzyskania dostępu do bazy danych magazynu kluczy na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w środowisku:
-
Wszystkie węzły HDS, infrastruktura Active Directory i oprogramowanie MS SQL Server muszą być synchronizowane z protokołem NTP.
-
Konto systemu Windows dostarczane węzłom HDS musi mieć dostęp do odczytu/zapisu do bazy danych.
-
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozpoznać Twoje centrum dystrybucji kluczy (KDC).
-
Wystąpienie bazy danych HDS na serwerze Microsoft SQL można zarejestrować jako nazwę główną usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie nazwy głównej usługi dla połączeń Kerberos.
Narzędzie konfiguracyjne usługi HDS, uruchamianie usługi HDS i lokalny serwer KMS muszą korzystać z uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych magazynu kluczy. Używają oni szczegółów z konfiguracji ISO do skonstruowania SPN przy żądaniu dostępu z uwierzytelnianiem Kerberos.
Wymagania dotyczące łączności zewnętrznej
Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:
Aplikacja |
Protokół |
Port |
Kierunek z aplikacji |
Miejsce docelowe |
---|---|---|---|---|
Węzły hybrydowego zabezpieczenia danych |
TCP |
443 |
Wychodzące HTTPS i WSS |
|
Narzędzie konfiguracji usług HDS |
TCP |
443 |
Wychodzący HTTPS |
|
Węzły usługi hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub zaporą, o ile translacja NAT lub zapora sieciowa zezwalają na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów usługi hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują do celów administracyjnych dostępu do węzłów usługi hybrydowego zabezpieczenia danych na portach TCP 443 i 22.
Adresy URL dla hostów usługi Common Identity (CI) są specyficzne dla regionów. Są to bieżące hosty CI:
Region |
Adresy URL hosta wspólnej tożsamości |
---|---|
Ameryka |
|
Unia Europejska |
|
Kanada |
|
Wymagania dotyczące serwera proxy
-
Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Hybrid Data Security.
-
Przezroczysty serwer proxy — Cisco Web Security Appliance (WSA).
-
Jawny serwer proxy — Squid.
Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń WebSocket (wss:). Aby rozwiązać ten problem, zobacz Konfigurowanie serwerów proxy Squid na potrzeby hybrydowego zabezpieczenia danych.
-
-
Obsługujemy następujące kombinacje typów uwierzytelniania dla jawnych serwerów proxy:
-
Brak uwierzytelniania za pomocą protokołu HTTP lub HTTPS
-
Uwierzytelnianie podstawowe za pomocą protokołu HTTP lub HTTPS
-
Uwierzytelnianie szyfrowane tylko przy użyciu protokołu HTTPS
-
-
W przypadku przezroczystego serwera proxy inspekcji lub jawnego serwera proxy HTTPS musisz mieć kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania w tym przewodniku informają, jak przekazać kopię do magazynów zaufania węzłów hybrid Data Security.
-
Sieć obsługująca węzły HDS musi być skonfigurowana tak, aby wymuszała kierowanie wychodzącego ruchu TCP na porcie 443 przez serwer proxy.
-
Serwery proxy, które sprawdzają ruch sieci web, mogą zakłócać połączenia gniazd internetowych. Jeśli ten problem wystąpi, ominięcie (nie inspekcja) ruchu do
wbx2.com
i ciscospark.comrozwiąże problem.
Spełnij wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych
1 |
Upewnij się, że Twoja organizacja Webex ma włączoną usługę Pro Pack for Cisco Webex Control Hub, i uzyskaj poświadczenia konta z pełnymi uprawnieniami administratora organizacji. Skontaktuj się z partnerem lub opiekunem klienta Cisco w celu uzyskania pomocy w tym procesie. |
2 |
Wybierz nazwę domeny dla wdrożenia HDS (na przykład |
3 |
Przygotuj identycznych wirtualnych prowadzących, które zostaną skonfigurowane jako węzły usługi hybrydowego zabezpieczenia danych w klastrze. Potrzebujesz co najmniej dwóch oddzielnych hostów (zalecane 3) rozmieszczonych w tym samym bezpiecznym centrum danych, które spełniają wymagania określone w wymaganiach dotyczących hosta wirtualnego. |
4 |
Przygotuj serwer bazy danych, który będzie pełnił rolę kluczowego magazynu danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być umieszczony w bezpiecznym centrum danych z wirtualnymi hostami. |
5 |
W celu szybkiego odzyskiwania po awarii skonfiguruj środowisko kopii zapasowej w innym centrum danych. Środowisko tworzenia kopii zapasowych jest lustrzane dla środowiska produkcyjnego maszyn wirtualnych i zapasowego serwera bazy danych. Jeśli na przykład w produkcji są 3 maszyny wirtualne z węzłami HDS, środowisko kopii zapasowej powinno zawierać 3 maszyny wirtualne. |
6 |
Skonfiguruj hosta dziennika systemu, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemu (domyślnie jest to UDP 514). |
7 |
Utwórz zasady bezpiecznych kopii zapasowych dla węzłów usługi hybrydowego zabezpieczenia danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec nieodwracalnej utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów usługi hybrydowego zabezpieczenia danych. Ponieważ węzły usługi hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania zawartości, niepowodzenie utrzymania operacyjnego wdrożenia spowoduje NIEODWRACALNĄ UTRATĘ tej zawartości. Klienci aplikacji Webex buforują swoje klucze, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się oczywista. O ile nie można zapobiec tymczasowym awariom, można je odzyskać. Jednak całkowita utrata (brak dostępnych kopii zapasowych) bazy danych lub pliku ISO konfiguracji spowoduje, że dane klienta nie będą mogły zostać odzyskane. Oczekuje się, że operatorzy węzłów usługi hybrydowego zabezpieczenia danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowania centrum danych usługi hybrydowego zabezpieczenia danych w przypadku wystąpienia katastrofalnej awarii. |
8 |
Upewnij się, że konfiguracja zapory umożliwia łączność z węzłami usługi hybrydowego zabezpieczenia danych, jak opisano w części Wymagania dotyczące łączności zewnętrznej. |
9 |
Zainstaluj aplikację Docker ( https://www.docker.com) na dowolnym lokalnym komputerze z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bitowy lub Mac OSX Yosemite 10.10.3 lub nowszym) za pomocą przeglądarki internetowej, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Wystąpienie usługi Docker umożliwia pobranie i uruchomienie narzędzia konfiguracyjnego HDS, które tworzy informacje o konfiguracji lokalnej dla wszystkich węzłów usługi hybrydowego zabezpieczenia danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące pulpitu Docker . Aby zainstalować i uruchomić narzędzie konfiguracji usługi HDS, komputer lokalny musi mieć łączność opisaną w sekcji Wymagania dotyczące łączności zewnętrznej. |
10 |
Jeśli integrujesz serwer proxy z usługą hybrydowego zabezpieczenia danych, upewnij się, że spełnia wymagania serwera proxy. |
11 |
Jeśli Twoja organizacja korzysta z synchronizacji katalogów, utwórz w usłudze Active Directory grupę o nazwie Twórca obszaru ustawia klawisze dla danego obszaru. Wybierając użytkowników pilota należy pamiętać, że jeśli zdecydujesz się trwale dezaktywować wdrożenie usługi hybrydowego zabezpieczenia danych, wszyscy użytkownicy utracą dostęp do zawartości w obszarach utworzonych przez tych użytkowników. Utrata staje się widoczna, gdy aplikacje użytkowników odświeżą swoje kopie zapasowe treści. |
Skonfiguruj klaster usługi hybrydowego zabezpieczenia danych
Przepływ zadań wdrażania hybrydowego zabezpieczenia danych
Przed rozpoczęciem
1 |
Wykonywanie pierwszej konfiguracji i pobieranie plików instalacyjnych Pobierz plik OVA na komputer lokalny w celu późniejszego użycia. |
2 |
Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS Użyj narzędzia konfiguracji usługi HDS, aby utworzyć plik konfiguracyjny ISO dla węzłów usługi hybrydowego zabezpieczenia danych. |
3 |
Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe. Opcja konfiguracji ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi w wersji 6.5. Opcja może być niedostępna we wcześniejszych wersjach. |
4 |
Skonfiguruj VM usługi hybrydowego zabezpieczenia danych Zaloguj się do konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały one skonfigurowane w czasie wdrażania OVA. |
5 |
Przesyłanie i montaż obrazu ISO w trybie HDS Skonfiguruj maszynę wirtualną z pliku konfiguracyjnego ISO utworzonego przy użyciu narzędzia konfiguracji HDS. |
6 |
Konfigurowanie węzła HDS do integracji z serwerem proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, który będzie używany dla węzła, a w razie potrzeby dodaj certyfikat serwera proxy do magazynu zaufanych certyfikatów. |
7 |
Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną w chmurze Cisco Webex jako węzeł usługi hybrydowego zabezpieczenia danych. |
8 |
Utwórz i zarejestruj więcej węzłów Zakończ konfigurację klastra. |
9 |
Uruchom wersję próbną i przenieś do wersji produkcyjnej (następny rozdział) Do czasu rozpoczęcia okresu próbnego węzły generują alarm informujący, że usługa nie została jeszcze aktywowana. |
Pobierz pliki instalacyjne
1 |
Zaloguj się do https://admin.webex.com, a następnie kliknij pozycję Usługi. |
2 |
W sekcji Usługi hybrydowe znajdź kartę usługi hybrydowego zabezpieczenia danych, a następnie kliknij przycisk Konfiguruj. Jeśli karta jest wyłączona lub nie widzisz jej, skontaktuj się z zespołem ds. konta lub organizacją partnerską. Podaj im swój numer konta i poproś o włączenie usługi hybrydowego zabezpieczenia danych w Twojej organizacji. Aby znaleźć numer konta, kliknij koło zębate w prawym górnym rogu obok nazwy organizacji. Możesz również pobrać OVA w dowolnym momencie w sekcji Pomoc na stronie Ustawienia . Na karcie usługi hybrydowego zabezpieczenia danych kliknij pozycję Edytuj ustawienia , aby otworzyć stronę. Następnie kliknij opcję Pobierz oprogramowanie hybrydowego zabezpieczenia danych w sekcji Pomoc . Starsze wersje pakietu oprogramowania (OVA) nie będą zgodne z najnowszymi aktualizacjami usługi hybrydowego zabezpieczenia danych. Może to powodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierasz najnowszą wersję pliku OVA. |
3 |
Wybierz opcję Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej. Plik OVA automatycznie rozpocznie się pobieranie. Zapisz plik w lokalizacji na komputerze.
|
4 |
Opcjonalnie kliknij opcję Otwórz przewodnik wdrażania , aby sprawdzić, czy dostępna jest nowsza wersja tego przewodnika. |
Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS
Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.
Przed rozpoczęciem
-
Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora w organizacji.
Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT
-
Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
-
Poświadczenia bazy danych
-
Aktualizacje certyfikatu
-
Zmiany w zasadach autoryzacji
-
-
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.
1 |
W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: W środowiskach FedRAMP: Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować. | ||||||||||
2 |
Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: | ||||||||||
3 |
Po wyświetleniu monitu o hasło wprowadź ten skrót: | ||||||||||
4 |
Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: W środowiskach FedRAMP: | ||||||||||
5 |
Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska:
Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. | ||||||||||
6 |
Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Użyj przeglądarki internetowej, aby przejść do hosta lokalnego Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie. | ||||||||||
7 |
Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych. | ||||||||||
8 |
Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij. | ||||||||||
9 |
Na stronie Import ISO dostępne są następujące opcje:
| ||||||||||
10 |
Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatu X.509.
| ||||||||||
11 |
Wprowadź adres bazy danych i konto usługi HDS, aby uzyskać dostęp do magazynu danych klucza: | ||||||||||
12 |
Wybierz tryb połączenia bazy danych TLS:
Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracyjne HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie weryfikuje również sygnatariusza certyfikatu i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w łączności węzły HDS mogą być w stanie ustanowić połączenie TLS, nawet jeśli maszyna narzędziowa do konfiguracji HDS nie może go pomyślnie przetestować). | ||||||||||
13 |
Na stronie Dzienniki systemowe skonfiguruj serwer Syslogd: | ||||||||||
14 |
(Opcjonalnie) Wartość domyślną niektórych parametrów połączenia z bazą danych można zmienić w sekcji Ustawienia zaawansowane. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić: | ||||||||||
15 |
Kliknij przycisk Kontynuuj na ekranie Resetuj hasło do kont usług . Okres ważności haseł do konta usługi wynosi dziewięć miesięcy. Użyj tego ekranu, gdy zbliża się wygaśnięcie haseł lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO. | ||||||||||
16 |
Kliknij opcję Pobierz plik ISO. Zapisz plik w miejscu, które jest łatwe do znalezienia. | ||||||||||
17 |
Utwórz kopię zapasową pliku ISO w lokalnym systemie. Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji. | ||||||||||
18 |
Aby zamknąć narzędzie konfiguracyjne, wpisz |
Co zrobić dalej
Utwórz kopię zapasową pliku konfiguracyjnego ISO. Potrzebujesz go, aby utworzyć więcej węzłów do odzyskania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Nie można odzyskać kluczy z bazy danych PostgreSQL i Microsoft SQL Server.
Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.
Zainstaluj OVA hosta HDS
1 |
Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi. |
2 |
Wybierz pozycję Plik > Wdróż szablon OVF. |
3 |
W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij przycisk Dalej. |
4 |
Na stronie Wybierz nazwę i folder wprowadź nazwę maszyny wirtualnej węzła (na przykład „HDS_Node_1”), wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Dalej. |
5 |
Na stronie Wybierz zasób obliczeniowy wybierz docelowy zasób obliczeniowy, a następnie kliknij przycisk Dalej. Uruchamiane jest sprawdzenie poprawności. Po zakończeniu pojawią się szczegóły szablonu. |
6 |
Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej. |
7 |
Jeśli zostaniesz poproszony o wybranie konfiguracji zasobu na stronie Konfiguracja , kliknij przycisk 4 procesora , a następnie kliknij przycisk Dalej. |
8 |
Na stronie Wybierz miejsce do przechowywania kliknij przycisk Dalej , aby zaakceptować domyślny format dysku i zasady przechowywania VM. |
9 |
Na stronie Wybierz sieci wybierz opcję sieci z listy pozycji, aby zapewnić żądane łączność z maszyną wirtualną. |
10 |
Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieciowe:
Jeśli chcesz, możesz pominąć konfigurację ustawień sieciowych i wykonać czynności opisane w artykule Skonfiguruj maszynę wirtualną usługi hybrydowego zabezpieczenia danych , aby skonfigurować ustawienia z konsoli węzła. Opcja konfiguracji ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi w wersji 6.5. Opcja może być niedostępna we wcześniejszych wersjach. |
11 |
Kliknij prawym przyciskiem myszy VM węzła, a następnie wybierz kolejno opcje .Oprogramowanie hybrydowego zabezpieczenia danych jest instalowane jako gość na hoście maszyn wirtualnych. Możesz się teraz zalogować do konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzłów. Podczas pierwszego rozruchu na konsoli pojawia się komunikat zapory mostkowej, podczas której nie można się zalogować. |
Skonfiguruj VM usługi hybrydowego zabezpieczenia danych
Ta procedura umożliwia zalogowanie się po raz pierwszy w konsoli VM węzła usługi hybrydowego zabezpieczenia danych i ustawienie poświadczeń logowania. Za pomocą konsoli można również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały one skonfigurowane w momencie wdrażania OVA.
1 |
W kliencie VMware vSphere wybierz swoją maszynę wirtualną węzła usługi hybrydowego zabezpieczenia danych i wybierz kartę Konsola . Zostanie uruchomiona maszyna wirtualna i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie się nie został wyświetlony, naciśnij klawisz Enter.
|
2 |
Aby zalogować się i zmienić poświadczenia, należy użyć następującego domyślnego logowania i hasła: Ponieważ logujesz się do maszyny wirtualnej po raz pierwszy, musisz zmienić hasło administratora. |
3 |
Jeśli ustawienia sieciowe zostały już skonfigurowane w sekcji Zainstaluj OVA hosta HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację . |
4 |
Skonfiguruj statyczną konfigurację z informacjami o adresie IP, maskach, bramie i systemie DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany. |
5 |
(Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne, aby dostosować ją do zasad sieci. Nie trzeba ustawiać domeny tak, aby była zgodna z domeną użytą do uzyskania certyfikatu X.509. |
6 |
Zapisz konfigurację sieci i uruchom ponownie maszynę wirtualną, aby zmiany zostały zastosowane. |
Przesyłanie i montaż obrazu ISO w trybie HDS
Przed rozpoczęciem
Ponieważ plik ISO zawiera klucz główny, powinien być on wyświetlany tylko na zasadzie „need to know”, aby uzyskać dostęp przez maszyny wirtualne usługi hybrydowego zabezpieczenia danych i wszystkich administratorów, którzy mogą potrzebować wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mają dostęp do magazynu danych.
1 |
Prześlij plik ISO z komputera: |
2 |
Montaż pliku ISO: |
Co zrobić dalej
Jeśli wymagają tego zasady IT, możesz opcjonalnie odinstalować plik ISO, gdy wszystkie węzły przejdą zmiany konfiguracji. Szczegółowe informacje zawiera temat (Opcjonalnie) Odmontowywanie certyfikatu ISO po konfiguracji HDS .
Konfigurowanie węzła HDS do integracji z serwerem proxy
Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z hybrid Data Security. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy HTTPS, możesz użyć interfejsu węzła do przekazania i zainstalowania certyfikatu głównego. Możesz także sprawdzić połączenie proxy z poziomu interfejsu i rozwiązać wszelkie potencjalne problemy.
Przed rozpoczęciem
-
Zobacz Obsługa serwera proxy, aby zapoznać się z omówieniem obsługiwanych opcji serwera proxy.
1 |
Wprowadź adres URL konfiguracji węzła HDS |
2 |
Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję:
Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji, jawny serwer proxy HTTP z uwierzytelnianiem podstawowym lub jawny serwer proxy HTTPS. |
3 |
Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostkikońcowej , a następnie przejdź do wybierz certyfikat główny dla serwera proxy. Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ należy ponownie uruchomić węzeł, aby zainstalować certyfikat. Kliknij strzałkę cudzysłów ostrokątnych przy nazwie wystawcy certyfikatu, aby uzyskać więcej szczegółów, lub kliknij przycisk Usuń, jeśli popełnisz błąd i chcesz ponownie przesłać plik. |
4 |
Kliknij przycisk Sprawdź połączenie z serwerem proxy, aby przetestować łączność sieciową między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie może połączyć się z serwerem DNS. Ten warunek jest oczekiwany w wielu jawnych konfiguracjach proxy. Możesz kontynuować konfigurację, a węzeł będzie działać w trybie zablokowanej zewnętrznej rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj te czynności, a następnie zobacz Wyłącz zablokowany zewnętrzny tryb rozdzielczości DNS. |
5 |
Po przejściu testu połączenia, dla jawnego serwera proxy ustawionego tylko na https, włącz przełącznik na Kieruj wszystkie żądania https portu 443/444 z tego węzła za pośrednictwem jawnego serwera proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone. |
6 |
Kliknij opcję Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się w przypadku jawnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawia się w przypadku jawnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe. Węzeł uruchomi się ponownie w ciągu kilku minut. |
7 |
Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym. Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy. |
Zarejestruj pierwszy węzeł w klastrze
Po zarejestrowaniu pierwszego węzła tworzony jest klaster, do którego przypisany jest węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia redundancji.
Przed rozpoczęciem
-
Po rozpoczęciu rejestracji węzła należy ją wykonać w ciągu 60 minut lub rozpocząć od nowa.
-
Upewnij się, że wszystkie blokery wyskakujące w przeglądarce są wyłączone lub zezwalasz na wyjątek dla witryny admin.webex.com.
1 |
Zaloguj się w https://admin.webex.com. |
2 |
Z menu po lewej stronie ekranu wybierz pozycję Usługi. |
3 |
W sekcji Usługi hybrydowe znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Skonfiguruj. Zastanie wyświetlona strona węzła Zarejestruj usługę hybrydowego zabezpieczenia danych.
|
4 |
Wybierz opcję Tak , aby wskazać, że węzeł został skonfigurowany i można go zarejestrować, a następnie kliknij przycisk Dalej. |
5 |
W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł usługi hybrydowego zabezpieczenia danych. Zalecamy nadanie nazwy klastra na podstawie tego, gdzie znajdują się węzły klastra. Przykłady: „San Francisco”, „Nowy Jork” lub „Dallas” |
6 |
W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej. Ten adres IP lub w pełni kwalifikowana nazwa domeny (FQDN) powinny być zgodne z adresem IP lub nazwą hosta i domeną użytymi w części Konfigurowanie maszyny wirtualnej usługi hybrydowego zabezpieczenia danych. Zostanie wyświetlony komunikat informujący, że możesz zarejestrować węzeł w usłudze Webex.
|
7 |
Kliknij opcję Przejdź do węzła. |
8 |
Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym. Po kilku chwilach nastąpi przekierowanie do testów łączności z węzłem dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych. Tam potwierdzasz, że chcesz przyznać swojej organizacji Webex uprawnienia do dostępu do węzła.
|
9 |
Zaznacz pole wyboru Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Konto zostało zweryfikowane, a komunikat „Rejestracja zakończona” wskazuje, że węzeł jest teraz zarejestrowany w chmurze Webex.
|
10 |
Kliknij łącze lub zamknij kartę, aby wrócić do strony usługi hybrydowego zabezpieczenia danych Control Hub. Na stronie Hybrydowe zabezpieczenia danych zostanie wyświetlony nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.
|
Utwórz i zarejestruj więcej węzłów
Obecnie zapasowe maszyny wirtualne utworzone w części Spełnij wymagania wstępne dla usługi hybrydowego zabezpieczenia danych są hostami w trybie gotowości, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są one zarejestrowane w systemie. Szczegółowe informacje zawiera temat Odzyskiwanie po awarii przy użyciu centrum danych w trybie gotowości.
Przed rozpoczęciem
-
Po rozpoczęciu rejestracji węzła należy ją wykonać w ciągu 60 minut lub rozpocząć od nowa.
-
Upewnij się, że wszystkie blokery wyskakujące w przeglądarce są wyłączone lub zezwalasz na wyjątek dla witryny admin.webex.com.
1 |
Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Zainstaluj OVA hosta HDS. |
2 |
Skonfiguruj początkową konfigurację na nowej maszynie wirtualnej, powtarzając kroki w artykule Konfigurowanie maszyny wirtualnej usługi hybrydowego zabezpieczenia danych. |
3 |
Na nowej maszynie wirtualnej powtórz czynności opisane w artykule Prześlij i zamontuj certyfikat ISO konfiguracji HDS. |
4 |
Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w artykule Konfigurowanie węzła HDS dla integracji serwera proxy w zależności od potrzeb dla nowego węzła. |
5 |
Zarejestruj węzeł. Twój węzeł jest zarejestrowany. Należy pamiętać, że do czasu rozpoczęcia okresu próbnego węzły generują alarm informujący, że usługa nie została jeszcze aktywowana.
|
Co zrobić dalej
Uruchom wersję próbną i przenieś do trybu produkcyjnego
Wersja próbna do przepływu zadań produkcji
Po skonfigurowaniu klastra usługi hybrydowego zabezpieczenia danych można uruchomić pilot, dodać do niego użytkowników i zacząć używać go do testowania i weryfikacji wdrożenia w celu przygotowania do przejścia do produkcji.
Przed rozpoczęciem
1 |
W razie potrzeby zsynchronizuj obiekt grupy Jeśli Twoja organizacja korzysta z synchronizacji katalogów dla użytkowników, przed rozpoczęciem korzystania z wersji próbnej należy wybrać obiekt grupy |
2 |
Rozpocznij wersję próbną. Dopóki nie wykonasz tego zadania, węzły generują alarm informujący, że usługa nie została jeszcze aktywowana. |
3 |
Przetestuj swoje wdrożenie usługi hybrydowego zabezpieczenia danych Sprawdź, czy żądania kluczy są przekazywane do wdrożenia usługi hybrydowego zabezpieczenia danych. |
4 |
Monitoruj stan hybrydowego zabezpieczenia danych Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów. |
5 | |
6 |
Ukończ fazę próbną, wykonując jedną z następujących czynności: |
Aktywuj wersję próbną
Przed rozpoczęciem
Jeśli Twoja organizacja korzysta z synchronizacji katalogów dla użytkowników, przed rozpoczęciem korzystania z wersji próbnej dla swojej organizacji należy wybrać obiekt grupy HdsTrialGroup
do synchronizacji z chmurą. Instrukcje można znaleźć w Przewodniku wdrażania Łącznika usług katalogowych Cisco.
1 |
Zaloguj się do https://admin.webex.com, a następnie wybierz pozycję Usługi. |
2 |
W obszarze Hybrydowe zabezpieczenia danych kliknij opcję Ustawienia. |
3 |
W sekcji Stan usługi kliknij opcję Rozpocznij wersję próbną. Stan usługi zmienia się na tryb próbny.
|
4 |
Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail co najmniej jednego użytkownika, aby korzystać z węzłów usługi hybrydowego zabezpieczenia danych do celów szyfrowania i indeksowania. (Jeśli Twoja organizacja korzysta z synchronizacji katalogów, użyj usługi Active Directory do zarządzania grupą testową, |
Przetestuj swoje wdrożenie usługi hybrydowego zabezpieczenia danych
Przed rozpoczęciem
-
Skonfiguruj swoje wdrożenie usługi hybrydowego zabezpieczenia danych.
-
Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.
-
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy żądania kluczy są przekazywane do wdrożenia usługi hybrydowego zabezpieczenia danych.
1 |
Twórca obszaru ustawia klawisze dla danego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilota, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilota i jednego użytkownika innego niż pilot. Po dezaktywacji wdrożenia usługi hybrydowego zabezpieczenia danych treści w obszarach utworzonych przez użytkowników pilotażowych nie będą już dostępne po zastąpieniu kopii kluczy szyfrowania zapisanych w pamięci podręcznej klienta. |
2 |
Wysyłaj wiadomości do nowego obszaru. |
3 |
Sprawdź dane wyjściowe dziennika systemu, aby sprawdzić, czy żądania kluczy są przekazywane do wdrożenia usługi hybrydowego zabezpieczenia danych. |
Monitoruj stan hybrydowego zabezpieczenia danych
1 |
W Control Hub wybierz pozycję Usługi z menu po lewej stronie ekranu. |
2 |
W sekcji Usługi hybrydowe znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Ustawienia. Zastanie wyświetlona strona ustawień usługi hybrydowego zabezpieczenia danych.
|
3 |
W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij klawisz Enter. |
Dodawanie lub usuwanie użytkowników z wersji próbnej
Jeśli usuniesz użytkownika z wersji próbnej, klient użytkownika zażąda kluczy i tworzenia kluczy z serwera KMS w chmurze zamiast z serwera KMS. Jeśli klient potrzebuje klucza przechowywanego w serwerze KMS, serwer KMS w chmurze pobierze go w imieniu użytkownika.
Jeśli w organizacji jest używana synchronizacja katalogów, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą testową — HdsTrialGroup
; możesz wyświetlić członków grupy w Control Hub, ale nie możesz ich dodawać ani usuwać.
1 |
Zaloguj się do Control Hub, a następnie wybierz pozycję Usługi. |
2 |
W obszarze Hybrydowe zabezpieczenia danych kliknij opcję Ustawienia. |
3 |
W sekcji Tryb próbny w obszarze Stan usługi kliknij opcję Dodaj użytkowników lub kliknij opcję Wyświetl i edytuj , aby usunąć użytkowników z wersji próbnej. |
4 |
Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania, lub kliknij X obok identyfikatora użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij przycisk Zapisz. |
Przenieś z wersji próbnej do wersji produkcyjnej
1 |
Zaloguj się do Control Hub, a następnie wybierz pozycję Usługi. |
2 |
W obszarze Hybrydowe zabezpieczenia danych kliknij opcję Ustawienia. |
3 |
W sekcji Stan usługi kliknij opcję Przenieś do trybu produkcyjnego. |
4 |
Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji. |
Zakończ okres próbny bez przechodzenia do trybu produkcyjnego
1 |
Zaloguj się do Control Hub, a następnie wybierz pozycję Usługi. |
2 |
W obszarze Hybrydowe zabezpieczenia danych kliknij opcję Ustawienia. |
3 |
W sekcji Dezaktywuj kliknij Dezaktywuj. |
4 |
Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny. |
Zarządzaj wdrożeniem usług HDS
Zarządzaj wdrożeniem usług HDS
Do zarządzania wdrożeniem usługi hybrydowego zabezpieczenia danych służą opisane w tym miejscu zadania.
Ustaw harmonogram uaktualniania klastra
Aby ustawić harmonogram uaktualniania:
1 |
Zaloguj się do Centrum sterowania. |
2 |
Na stronie Przegląd w części Usługi hybrydowe wybierz pozycję Hybrydowe zabezpieczenia danych. |
3 |
Na stronie Zasoby hybrydowego zabezpieczenia danych wybierz klaster. |
4 |
W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra. |
5 |
Na stronie Ustawienia w części Uaktualnianie wybierz strefę czasową i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest kolejna dostępna data i godzina uaktualnienia. W razie potrzeby możesz odroczyć uaktualnienie na następny dzień, klikając Odłóż. |
Zmień konfigurację węzła
-
Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.
Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do rejestracji klastra.
-
Aktualizacja ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.
Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
-
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.
Ponadto ze względów bezpieczeństwa usługa Hybrid Data Security używa haseł do kont usług, które mają dziewięciomiesięczny okres użytkowania. Gdy narzędzie HdS Setup wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO. Gdy hasła Twojej organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex o zresetowaniu hasła do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj interfejsu API konta komputera, aby zaktualizować hasło”). Jeśli Twoje hasła jeszcze nie wygasły, narzędzie oferuje dwie opcje:
-
Resetowanie programowe — stare i nowe hasła działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
-
Zresetuj całkowicie — stare hasła natychmiast przestaną działać.
Jeśli hasła wygasną bez resetowania, ma to wpływ na usługę HDS, wymagając natychmiastowego twardego resetu i wymiany pliku ISO na wszystkich węzłach.
Użyj tej procedury, aby wygenerować nowy konfiguracyjny plik ISO i zastosować go do klastra.
Przed rozpoczęciem
-
Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora w organizacji.
Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas wprowadzania kontenera Docker w 1.e. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:
Opis
Zmienna
Serwer proxy HTTP bez uwierzytelniania
GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT
Serwer proxy HTTPS bez uwierzytelniania
GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT
Serwer proxy HTTP z uwierzytelnianiem
GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT
Serwer proxy HTTPS z uwierzytelnianiem
GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT
-
Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO. ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.
1 |
Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie HDS Setup Tool. |
2 |
Jeśli masz uruchomiony tylko jeden węzeł HDS, utwórz nowy węzeł usługi hybrydowego zabezpieczenia danych i zarejestruj go za pomocą nowego pliku ISO konfiguracji. Aby uzyskać bardziej szczegółowe instrukcje, zobacz Tworzenie i rejestrowanie większej liczby węzłów. |
3 |
W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO. Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: |
4 |
Powtórz krok 3, aby zastąpić konfigurację na każdym pozostałym węźle, na którym działa stara konfiguracja. |
Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS
Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS.
Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, ponownie uruchamiając test połączenia proxy w każdym węźle.
Przed rozpoczęciem
1 |
W przeglądarce sieci Web otwórz interfejs węzła Hybrid Data Security (na przykład adres IP/konfiguracja https://192.0.2.0/setup), wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj. |
2 |
Przejdź do Przegląd (strona domyślna). Gdy ta opcja jest włączona, opcja Zablokowane zewnętrzne rozpoznawanie DNS jest ustawiona na Tak. |
3 |
Przejdź do strony Trust Store & Proxy. |
4 |
Kliknij przycisk Sprawdź połączenie proxy. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie mógł połączyć się z serwerem DNS i pozostanie w tym trybie. W przeciwnym razie, po ponownym uruchomieniu węzła i powrocie do strony Przegląd, Zablokowane zewnętrzne rozpoznawanie DNS powinno być ustawione na nie. |
Co dalej?
Usuń węzeł
1 |
Użyj klienta VMware vSphere na komputerze, aby zalogować się do hosta wirtualnego ESXi i wyłączyć maszynę wirtualną. |
2 |
Usuń węzeł: |
3 |
W kliencie vSphere usuń maszynę wirtualną. (W lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Usuń). Jeśli nie usuniesz maszyny wirtualnej, pamiętaj, aby odmontować plik ISO konfiguracji. Bez pliku ISO nie możesz korzystać z maszyny wirtualnej w celu uzyskania dostępu do danych zabezpieczeń. |
Przywracanie po awarii przy użyciu centrum danych w trybie gotowości
Najważniejszą usługą zapewnianą przez klaster usługi hybrydowego zabezpieczenia danych jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji, który jest przypisany do usługi hybrydowego zabezpieczenia danych, nowe żądania utworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za zwracanie utworzonych przez siebie kluczy do wszystkich użytkowników uprawnionych do ich pobrania, na przykład członków obszaru konwersacji.
Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby zachowano odpowiednie kopie zapasowe. Utrata bazy danych usługi hybrydowego zabezpieczenia danych lub konfiguracji ISO użytej do schematu spowoduje NIEODWRACALNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, obowiązkowe są następujące praktyki:
Jeśli awaria spowoduje niedostępność wdrożenia usług HDS w podstawowym centrum danych, wykonaj tę procedurę, aby ręcznie przełączyć się w tryb awaryjny do centrum danych.
1 |
Uruchom narzędzie konfiguracji HDS i wykonaj czynności wymienione w części Utwórz konfigurację ISO dla hostów HDS. |
2 |
Po skonfigurowaniu serwera Syslogd kliknij opcję Ustawienia zaawansowane |
3 |
Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń konfigurację
|
4 |
Zakończ proces konfiguracji i zapisz plik ISO w łatwym do znalezienia miejscu. |
5 |
Utwórz kopię zapasową pliku ISO w lokalnym systemie. Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji. |
6 |
W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy urządzenie wirtualne i kliknij opcję Edytuj ustawienia. |
7 |
Kliknij Edytuj ustawienia >Dysk CD/DVD 1 i wybierz Plik ISO magazynu danych. Upewnij się, że opcje Połączono i Połącz po włączeniu zasilania są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły zostać zastosowane po uruchomieniu węzłów. |
8 |
Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut. |
9 |
Powtórz ten proces dla każdego węzła w centrum danych w trybie gotowości. Sprawdź dane wyjściowe dziennika systemowego, aby sprawdzić, czy węzły centrum danych w trybie gotowości nie znajdują się w trybie pasywnym. „Serwer KMS skonfigurowany w trybie pasywnym” nie powinien pojawiać się w dziennikach systemowych. |
Co zrobić dalej
(Opcjonalnie) Odmontuj ISO po konfiguracji HDS
Standardowa konfiguracja trybu HDS jest uruchomiona z zamontowaną normą ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale montowanych. Plik ISO można odmontować, gdy wszystkie węzły HDS odbiorą nową konfigurację.
Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego certyfikatu ISO lub aktualizacji certyfikatu ISO za pomocą narzędzia konfiguracji należy zamontować zaktualizowany certyfikat ISO na wszystkich węzłach trybu HDS. Gdy wszystkie węzły odbiorą zmiany konfiguracji, można ponownie odmontować obraz ISO za pomocą tej procedury.
Przed rozpoczęciem
Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.
1 |
Wyłącz jeden z węzłów trybu HDS. |
2 |
W urządzeniu vCenter Server Device wybierz węzeł HDS. |
3 |
Wybierz Plik ISO magazynu danych. i usuń zaznaczenie pola wyboru |
4 |
Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut. |
5 |
Powtórz kolejno dla każdego węzła HDS. |
Rozwiązywanie problemów z usługą hybrydowego zabezpieczenia danych
Wyświetlanie alertów i rozwiązywanie problemów
Wdrożenie usługi hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są niedostępne lub klaster działa tak wolno, że wymaga przekroczenia limitu czasu. Jeśli użytkownicy nie mogą połączyć się z klastrem usługi hybrydowego zabezpieczenia danych, wystąpią następujące objawy:
-
Nie można tworzyć nowych obszarów (nie można utworzyć nowych kluczy)
-
Nie można odszyfrować wiadomości i tytułów obszarów dla:
-
Nowi użytkownicy dodani do obszaru (nie można pobrać kluczy)
-
Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
-
-
Istniejący użytkownicy w obszarze będą nadal działać pomyślnie, o ile ich klienci mają pamięć podręczną kluczy szyfrowania
Ważne jest, aby prawidłowo monitorować klaster usługi hybrydowego zabezpieczenia danych i szybko odpowiadać na wszelkie alerty, aby uniknąć zakłóceń w świadczeniu usług.
Alerty
Jeśli wystąpi problem z konfiguracją usługi hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.
Alarm |
Czynność |
---|---|
Błąd dostępu do lokalnej bazy danych. |
Sprawdź, czy nie występują błędy bazy danych lub problemy z siecią lokalną. |
Błąd połączenia z lokalną bazą danych. |
Sprawdź, czy serwer bazy danych jest dostępny i czy w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi. |
Błąd dostępu do usługi chmury. |
Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z Wymaganiami dotyczącymi łączności zewnętrznej. |
Odnawianie rejestracji w usłudze w chmurze. |
Przerwano rejestrację w usługach w chmurze. Trwa odnawianie rejestracji. |
Rejestracja usługi w chmurze została przerwana. |
Rejestracja w usługach w chmurze została zakończona. Usługa jest wyłączana. |
Usługa nie została jeszcze aktywowana. |
Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do wersji produkcyjnej. |
Skonfigurowana domena nie jest zgodna z certyfikatem serwera. |
Upewnij się, że certyfikat serwera jest zgodny ze skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że kod CN certyfikatu został ostatnio zmieniony i różni się teraz od kodu używanego podczas początkowej konfiguracji. |
Nie można uwierzytelnić usług w chmurze. |
Sprawdź dokładność i możliwe wygaśnięcie poświadczeń konta usługi. |
Nie można otworzyć pliku lokalnego magazynu kluczy. |
Sprawdź integralność i dokładność haseł w pliku lokalnego magazynu kluczy. |
Certyfikat serwera lokalnego jest nieprawidłowy. |
Sprawdź datę wygaśnięcia certyfikatu serwera i upewnij się, że został on wydany przez zaufany urząd certyfikacji. |
Nie można opublikować metryk. |
Sprawdź dostęp sieci lokalnej do usług chmury zewnętrznej. |
Katalog /media/configdrive/hds nie istnieje. |
Sprawdź konfigurację montażu ISO na hoście wirtualnym. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu przy ponownym uruchomieniu i czy zamontowano go pomyślnie. |
Rozwiązywanie problemów z usługą hybrydowego zabezpieczenia danych
1 |
Przejrzyj Control Hub, aby uzyskać alerty i napraw wszystkie znajdujące się w tym miejscu elementy. |
2 |
Sprawdź dane wyjściowe serwera dziennika systemu pod kątem aktywności we wdrożeniu usługi hybrydowego zabezpieczenia danych. |
3 |
Skontaktuj się ze wsparciem Cisco. |
Inne uwagi
Znane problemy dotyczące hybrydowego zabezpieczenia danych
-
Jeśli wyłączysz klaster usługi hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub stracisz dostęp do bazy danych magazynu kluczy, użytkownicy aplikacji Webex nie będą mogli korzystać z obszarów z listy Osoby utworzonych za pomocą kluczy z serwera KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia lub rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłużeniu aktywnych kont użytkowników.
-
Klient, który ma istniejące połączenie ECDH z serwerem KMS, utrzymuje to połączenie przez pewien czas (prawdopodobnie jedną godzinę). Gdy użytkownik staje się członkiem wersji próbnej usługi hybrydowego zabezpieczenia danych, jego klient nadal korzysta z istniejącego połączenia ECDH do momentu jego przekroczenia limitu czasu. Alternatywnie użytkownik może wylogować się i ponownie zalogować do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w odniesieniu do kluczy szyfrowania.
To samo zachowanie występuje w przypadku przeniesienia wersji próbnej do produkcji dla organizacji. Wszyscy użytkownicy nietestowi, którzy mają istniejące połączenia ECDH z poprzednimi usługami bezpieczeństwa danych, będą nadal korzystać z tych usług do momentu ponownego wynegocjowania połączenia ECDH (po przekroczeniu limitu czasu lub wylogowaniu i ponownym zalogowaniu).
Użyj OpenSSL do generowania pliku PKCS12
Przed rozpoczęciem
-
OpenSSL to jedno z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do załadowania w narzędziu konfiguracyjnym HDS. Istnieją inne sposoby na to, a my nie popieramy ani nie promujemy jednej drogi nad drugą.
-
Jeśli zdecydujesz się na użycie protokołu OpenSSL, udostępniamy tę procedurę jako wskazówkę, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatu X.509. Przed kontynuowaniem zrozum te wymagania.
-
Zainstaluj protokół OpenSSL w obsługiwanym środowisku. Informacje na temat https://www.openssl.org oprogramowania i dokumentacji można znaleźć.
-
Utwórz klucz prywatny.
-
Rozpocznij tę procedurę po otrzymaniu certyfikatu serwera od urzędu certyfikacji (CA).
1 |
Po otrzymaniu certyfikatu serwera od urzędu certyfikacji zapisz go jako |
2 |
Wyświetl certyfikat w postaci tekstu i zweryfikuj szczegóły.
|
3 |
Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie
|
4 |
Utwórz plik .p12 o przyjaznej nazwie
|
5 |
Sprawdź szczegóły certyfikatu serwera. |
Co zrobić dalej
Wróć do tematu Wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych. Będziesz używać pliku hdsnode.p12
i ustawionego dla niego hasła w Utwórz konfigurację ISO dla hostów HDS.
Możesz ponownie użyć tych plików, aby zażądać nowego certyfikatu po wygaśnięciu oryginalnego certyfikatu.
Ruch między węzłami HDS a chmurą
Ruch kolekcji metryk wychodzących
Węzły usługi hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dotyczące maksymalnej sterty, użytej sterty, obciążenia procesora i liczby wątków; metryki wątków synchronicznych i asynchronicznych; metryki alertów dotyczących progu połączeń szyfrowania, opóźnienia lub długości kolejki żądań; metryki w magazynie danych oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał braku pasma (oddzielny od żądania).
Ruch przychodzący
Węzły usługi hybrydowego zabezpieczenia danych odbierają następujące typy ruchu przychodzącego z chmury Webex:
-
Żądania szyfrowania od klientów trasowane przez usługę szyfrowania
-
Uaktualnia oprogramowanie węzła
Skonfiguruj serwery proxy Squid dla hybrydowego zabezpieczenia danych
Websocket nie może połączyć się przez Squid Proxy
Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń Websocket (wss:
), których wymaga hybrydowe zabezpieczenia danych. Poniższe sekcje zawierają wskazówki, jak skonfigurować różne wersje Squid, aby ignorować wss:
ruchu zapewniającego prawidłowe funkcjonowanie usług.
Kalmary 4 i 5
Dodaj on_unsupported_protocol
dyrektywę do squid.conf
:
on_unsupported_protocol tunel wszystkie
Kalmary 3.5.27
Z powodzeniem przetestowaliśmy Hybrid Data Security z następującymi regułami dodanymi do squid.conf
. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizowania chmury Webex.
Acl wssMercuryConnection ssl::server_name_regex połączenie z rtęcią ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 wszystko ssl_bump stare step2 wszystko ssl_bump bump3 wszystko